最新資料刪除軟體導致Viasat歐洲通訊衛星斷線

安全廠商SentinelOne發現最新一宗資料刪除軟體攻擊，讓2月底歐洲通訊衛星KA-SAT斷線，並導致數萬用戶網路斷線。

2月底俄羅斯侵略烏克蘭不久，美國公司Viasat的高吞吐量通訊衛星KA-SAT位於烏克蘭境內的數據機遭到攻擊斷線，接著法國有近9,000家用戶、以及歐洲電信衛星（Eutelsat）1萬多名用戶網路斷線，並導致德國5,800多架用於發電的風機無法遠端監控與控制。此次攻擊起因雖然眾說紛紜，但一直沒有技術細節公布。但SentinelOne發現肇禍者是最新的資料刪除程式。

SentinelOne 3月中在VirusTotal上發現一個ELF MIPS檔案，檔名為ukrop，疑為ukraine和operation的綜合。該公司將之命名為AcidRain。AcidRain的功能很簡單，透過暴力破解存取受害系統。它的binary能對檔案系統及多種儲存裝置的檔案徹底刪除資料。若AcidRain以根權限執行，會先啟動多次複寫，並刪除檔案系統內非標準的檔案。

這個程式會掃瞄所有可能的裝置檔案識別符（file identifier）、啟動裝置檔案，再以高達0x40000 bytes的資料覆寫之，或使用MEMGETINFO、MEMUNLOCK、MEMERASE和 MEMWRITEOOB等系統呼叫（IOCTL）指令。等刪除完成，即重新啟動裝置，結果讓裝置無法作用。

Viasat公司隨後公布調查結果，顯示攻擊有2階段，駭客先利用烏克蘭境內的多臺數據機發動阻斷服務攻擊，造成當地KA-SAT數據機斷線，之後進一步波及義大利的Viasat衛星通訊管理營運商Skylogic，導致攻擊擴大到歐洲其他地區的數據機。

根據分析，AcidRain使用的IOCTL類似攻擊過QNAP的VPNFilter刪除程式外掛，後者被認為是俄羅斯政府御用駭客Fancy Bear或Sandworm所使用的工具。

研究人員指出，雖然資料刪除程式相較其他類別的惡意程式來得罕見，但從烏克蘭戰爭開打一個多月以來，AcidRain已是第7隻，之前分別是WhisperKill、 WhisperGate、HermeticWiper、IsaacWiper、CaddyWiper和DoubleZero。