Yönlendiricileri ve modemleri silen yeni keşfedilen bir veri silici kötü amaçlı yazılım, 24 Şubat’ta SATCOM modemlerini silmek için KA-SAT uydu geniş bant hizmetini hedef alan ve Ukrayna’da binlerce ve Avrupa’da on binlercesini etkileyen siber saldırıya yerleştirildi.
SentinelOne’daki araştırmacılar tarafından AcidRain olarak adlandırılan kötü amaçlı yazılım, cihaz dosya adlarını kaba kuvvetle zorlamak ve bulabildiği her dosyayı silerek gelecekteki saldırılarda yeniden konuşlandırılmasını kolaylaştırmak için tasarlanmıştır.
SentinelOne, bunun, saldırganların hedeflenen cihazların dosya sistemi ve bellenimine aşina olmadıklarını veya yeniden kullanılabilir bir araç geliştirme niyetlerini ima edebileceğini söylüyor.
AcidRain ilk olarak 15 Mart’ta İtalya’daki bir IP adresinden VirusTotal kötü amaçlı yazılım analiz platformuna “ukrop” dosya adını kullanarak 32 bit MIPS ELF ikili dosyası olarak yüklendikten sonra tespit edildi.
Dağıtıldıktan sonra, güvenliği ihlal edilmiş yönlendiriciden veya modemin tüm dosya sisteminden geçer. Ayrıca tüm olası cihaz tanımlayıcılarını kullanarak flash belleği, SD/MMC kartlarını ve bulabildiği tüm sanal blok cihazlarını siler.
“İkili, dosya sistemini ve bilinen çeşitli depolama aygıtı dosyalarını derinlemesine siler. Kod kök olarak çalışıyorsa, AcidRain dosya sistemindeki standart olmayan dosyaların ilk özyinelemeli üzerine yazma ve silme işlemini gerçekleştirir.” SentinelOne tehdit araştırmacıları Juan Andres Guerrero-Saade ve Max van Amerongen açıkladı.
Güvenliği ihlal edilmiş cihazlardaki verileri yok etmek için, silici 0x40000 bayta kadar veri ile dosya içeriğinin üzerine yazar veya MEMGETINFO, MEMUNLOCK, MEMERASE ve MEMWRITEOOB giriş/çıkış kontrolü (IOCTL) sistem çağrılarını kullanır.
AcidRain’in veri silme işlemleri tamamlandıktan sonra, kötü amaçlı yazılım cihazı yeniden başlatarak kullanılamaz hale getirir.
Ukrayna’da uydu iletişim modemlerini silmek için kullanılır
SentinelOne, VirusTotal’a yüklenen ve “Ukrayna Operasyonu”nun kısaltması olabilecek AcidRain ikili dosyasının adına dayanarak, kötü amaçlı yazılımın açıkça Ukrayna’ya karşı bir operasyon için geliştirilmiş olabileceğini ve muhtemelen KA-SAT siber saldırılarında modemleri silmek için kullanılmış olabileceğini söyledi.
SentinelOne, “Tehdit aktörü, modemler ve yönlendiriciler için tasarlanmış bir sileceği itmek için tedarik zinciri saldırısında KA-SAT yönetim mekanizmasını kullandı.”
“Bu tür bir cihaz için bir silecek, modemin flash belleğindeki önemli verilerin üzerine yazarak onu çalışmaz hale getirir ve yeniden başlatma veya değiştirme ihtiyacı duyar.”
Bu doğrudan çelişkili KA-SAT olayına ilişkin Viasat olay raporu “Viasat modem yazılımı veya ürün yazılımı görüntülerinde herhangi bir uzlaşma veya kurcalama kanıtı bulunmadığını ve herhangi bir tedarik zinciri müdahalesine dair hiçbir kanıt bulunmadığını” söyledi.
Ancak Viasat, SentinelOne’ın hipotezini doğruladı ve verileri yok eden kötü amaçlı yazılımların “meşru yönetim” komutları kullanılarak modemlere yerleştirildiğini söyledi.
Bir Viasat sözcüsü BleepingComputer’a verdiği demeçte, “Ukrop ikilisine ilişkin SentinelLabs raporundaki analiz, raporumuzdaki gerçeklerle tutarlıdır – özellikle, SentinelLabs, modemlerde çalıştırılan yıkıcı yürütülebilir dosyayı Viasat’ın daha önce açıklandığı gibi meşru bir yönetim komutu kullanarak tanımlar.”
“Bu soruşturma tamamlandığında ek adli tıp ayrıntıları sağlayabileceğimizi umuyoruz.”
Modemleri silmek için AcidRain’in kullanılması, KA-SAT’a yönelik saldırıda bozulmuş bir SATCOM modeminin flash belleğini boşaltan güvenlik araştırmacısı Ruben Santamarta tarafından da doğrulandı.
SentinelOne’ın dediği gibi, Santamarta tarafından gözlemlenen yıkıcı model, AcidRain’in üzerine yazma silecek yönteminin çıktısıyla eşleşiyor.
Viasat’ın, müşterileri tekrar çevrimiçi duruma getirmek için Şubat 2022 saldırısından bu yana yaklaşık 30.000 modem göndermesi ve hizmet restorasyonunu daha da hızlandırmaya devam etmesi, SentinelOne’ın tedarik zinciri saldırı teorisinin su tuttuğunu da ima ediyor.
Bir yan not olarak, bu kötü amaçlı yazılım tarafından kullanılan IOCTL’ler, Rus GRU bilgisayar korsanlarına atfedilen kötü amaçlı bir araç olan VPNFilter kötü amaçlı yazılım ‘dstr’ silecek eklentisi tarafından kullanılanlarla da eşleşir (süslü ayı veya kum solucanı).
Bu yıl Ukrayna’ya karşı yedinci veri sileceği konuşlandırıldı
AcidRain, Ukrayna’ya yönelik saldırılarda kullanılan yedinci veri silecek kötü amaçlı yazılımdır ve altı tanesi yılın başından bu yana ülkeyi hedef almak için kullanılmıştır.
Ukrayna Bilgisayar Acil Müdahale Ekibi geçtiğimiz günlerde, takip ettiği bir veri sileceği olduğunu bildirdi. Çift sıfır Ukraynalı işletmeleri hedef alan saldırılarda konuşlandırıldı.
Rusya’nın Ukrayna’yı işgali başlamadan bir gün önce ESET, verileri silen bir kötü amaçlı yazılım tespit etti. şimdi HermetikSilecek olarak biliniyorile birlikte Ukrayna’daki örgütlere karşı kullanıldı. fidye yazılımı tuzakları.
Rusya Ukrayna’yı işgal ettiği gün, onlar da bir IsaacWiper adlı veri sileceği ve HermeticWiper yüklerini düşürmek için kullanılan HermeticWizard adlı yeni bir solucan.
ESET ayrıca, adlandırdıkları dördüncü bir veri yok edici kötü amaçlı yazılım türü tespit etti. CaddySilecekbağlı sürücülerden kullanıcı verilerini ve bölüm bilgilerini silen ve ayrıca dağıtıldığı Windows etki alanlarındaki verileri silen bir silici.
Beşinci bir silecek kötü amaçlı yazılım olarak izlendi FısıltıÖldürEncrpt3d Ransomware kodunun (WhiteBlackCrypt Ransomware olarak da bilinir) %80’ini yeniden kullandığını söyleyen Ukrayna Devlet İletişim ve Bilgi Koruma Servisi (CIP) tarafından tespit edildi.
Ocak ayı ortasında Microsoft şimdi WhisperGate olarak izlenen altıncı bir silecek buldufidye yazılımı kılığında Ukrayna’ya yönelik veri silme saldırılarında kullanılır.
Güncelleme: Bir Viasat sözcüsü, hikaye yayınlandıktan sonra şu açıklamayı gönderdi:
Viasat Olay Raporu’nda dün verilen bilgiler doğrudur. SentinelLabs raporundaki ukrop ikili dosyasına ilişkin analiz, raporumuzdaki gerçeklerle tutarlıdır – özellikle, SentinelLabs, Viasat’ın daha önce açıklandığı gibi meşru bir yönetim komutu kullanarak modemlerde çalıştırılan yıkıcı yürütülebilir dosyayı tanımlar.
Raporumuzda belirtildiği gibi: “saldırgan, bu güvenilir yönetim ağı üzerinden ağı yönetmek ve işletmek için kullanılan belirli bir ağ kesimine yanlamasına hareket etti ve ardından bu ağ erişimini çok sayıda konut modeminde aynı anda meşru, hedefli yönetim komutlarını yürütmek için kullandı. “
Ek olarak, bunu bir tedarik zinciri saldırısı veya güvenlik açığı olarak görmüyoruz. Belirttiğimiz gibi, “Viasat’ın saldırıda normal ağ operasyonlarında yer alan standart modem yazılımı veya ürün yazılımı dağıtım veya güncelleme işlemlerinin kullanıldığına veya güvenliğinin ihlal edildiğine dair hiçbir kanıtı yoktur.” Ayrıca, “herhangi bir son kullanıcı verisine erişildiğine veya güvenliğinin ihlal edildiğine dair hiçbir kanıt yok.”
Devam eden soruşturma nedeniyle ve sistemlerimizin devam eden saldırılara karşı güvenliğini sağlamak için, olayın tüm adli ayrıntılarını kamuya açıklayamayız. Bu süreç boyunca, dünya çapında etkinliğin ayrıntılarına erişimi olan çeşitli kolluk kuvvetleri ve devlet kurumlarıyla işbirliği yaptık ve yapmaya devam ediyoruz.
Bu soruşturma tamamlandığında ek adli ayrıntılar sağlayabileceğimizi umuyoruz.