美国卫星通信服务商遭数据擦除攻击，导致东欧地区网络中断

最近的网络安全研究中，在 2022 年 2 月 24 日，也就是俄罗斯军队入侵乌克兰的同一天，美国卫星通信服务提供商 Viasat 遭到网络攻击，该次攻击使得 KA-SAT 调制解调器离线，造成了中东欧地区的网络中断，据悉这是遭到擦除恶意软件攻击的结果。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，该调查结果是在这家美国电信公司披露它是针对其 KA-SAT 网络的多方面和蓄意的网络攻击的目标的第二天，将其与攻击者利用 VPN 设备中的错误配置进行的基于地面的网络入侵联系起来远程访问 KA-SAT 网络的可信管理部分。

在获得访问权限后，攻击者对数以万计属于卫星宽带服务的调制解调器发出破坏性命令，覆盖调制解调器闪存中的关键数据，使调制解调器无法访问网络，但并非永久无法使用。

研究人员表示，AcidRain 被设计为 32 位 MIPS ELF 可执行文件，执行文件系统和各种已知存储设备文件的深入数据擦除。如果代码以 root 身份运行，AcidRain 会对文件系统中的非标准文件执行初始递归覆盖和删除。

数据擦除完成后，设备将重新启动以使其无法操作。这使得 AcidRain 成为自今年以来与俄乌战争有关的第7个 Wiper 样本，之前的6个分别是 WhisperGate、WhisperKill、HermeticWiper、IsaacWiper、CaddyWiper 和 DoubleZero。

对数据擦除器样本的进一步分析还发现了一个有趣的代码与第三阶段插件 dstr 重合，该插件用于涉及名为VPNFilter的恶意软件家族的攻击，该恶意软件家族被归因于俄罗斯沙虫（又名 Voodoo Bear）黑客组织。

目前仍不清楚黑客如何获得对 VPN 的访问权限，在得到 Viasat 证实后，数据破坏恶意软件确实是使用合法管理命令部署在调制解调器上的，目前调查还在取证和调查阶段，极牛网将继续跟踪这一事件的进展。