La massiccia interruzione di Internet via satellite Viasat del mese scorso è collegata ad malware in grado di cancellare i dati da modem e router: AcidRain.
La società di sicurezza informatica SentinelOne afferma di aver individuato un campione di malware probabilmente utilizzato durante l'hacking di Viasat del 24 febbraio. Il malware sarebbe direttamente responsabile della sospensione del servizio Internet.
Il malware, soprannominato AcidRain, è un programma eseguibile Unix progettato per prendere di mira i dispositivi costruiti con l'architettura MIPS.
SentinelOne nota il malware dopo che un campione di AcidRain è stato caricato sul servizio di rilevamento malware VirusTotal il 15 marzo.
Lo stesso campione è arrivato dall'Italia, dove ha sede anche SkyLogic, l'operatore Viasat che gestisce la rete interessata. Inoltre, il campione di malware, è etichettato con il nome "ukrop", un possibile riferimento all'operazione in Ucraina.
Viasat esaminata da SentinelOne
SentinelOne ha anche esaminato AcidRain scoprendo che è in grado di eseguire una pulizia approfondita del filesystem e di vari file del dispositivo di archiviazione noti su un modem infetto.
Il malware attiverà quindi un riavvio, lasciando il dispositivo inutilizzabile.
La società di sicurezza ha pubblicato il rapporto un giorno dopo che Viasat ha fornito maggiori dettagli sull'interruzione del 24 febbraio; interruzione avvenuta proprio quando la Russia inizia ad invadere l'Ucraina.
L'interruzione ha causato la perdita temporanea dell'accesso a Internet da parte di migliaia di utenti in Ucraina e di altre decine di migliaia in tutta Europa.
L'indagine di Viasat ha rilevato che gli hacker dietro l'incidente hanno sfruttato un dispositivo VPN mal configurato per ottenere l'accesso remoto all'infrastruttura Internet satellitare, quindi hanno utilizzato comandi di gestione legittimi e mirati su un gran numero di modem per metterli offline.
Tuttavia, non è chiaro come mai l'indagine di Viasat non ha fatto menzione di alcun malware per la cancellazione dei dati. Invece, il rapporto dell'azienda indicava i "comandi distruttivi" che sovrascrivevano i dati chiave nella memoria flash sui modem interessati, rendendoli inutili.