Importanti dettagli su quello che allo stato attuale è il più importante attacco informatico dall’inizio dell’invasione russa in Ucraina, fanno emergere l’utilizzo di un nuovo pericoloso wiper. Scopriamo i dettagli di AcidRain
Pubblicato il 04 Apr 2022 Fonte Completa : https://www.cybersecurity360.it/nuove-minacce/dalla-guerra-acidrain-il-malware-wiper-contro-linternet-satellitare-europeo/
Research Infosec, fondatore Insicurezzadigitale.com
Gli esperti di sicurezza di SentinelLabs hanno isolato il nuovo malware wiper utilizzato anche nell‘attacco cyber a Viasat, denominato AcidRain mirato contro router e modem. Ora si conoscono i dettagli dell’elemento veicolo di attacco, che ha messo fuori combattimento le turbine eoliche in Germania. Considerato per ora il più importante attacco informatico nell’attuale scenario di invasione russa dell’Ucraina, quello a Viasat ha coinvolto anche l’Italia per via dell’amministrazione di Eutalsat operata dall’italiana Skylogic.
Indice degli argomenti
- Come è avvenuto l’attacco a Viasat
- Le indagini sul wiper AcidRain
- Come funziona il wiper AcidRain
Promozione su amazon : https://www.amazon.it/ASUS-B0BSLJ81VX-Anti-Glare-i7-13650HX-NVIDIA-GeForce-RTX/dp/B0BSLJ81VX/
Come è avvenuto l’attacco a Viasat
Secondo i ricercatori di malware Juan Andres Guerrero-Saade e Max van Amerongen, si ritiene che l’ultimo wiper, soprannominato AcidRain, faccia parte di un attacco alla catena di approvvigionamento più significativo mirato a distruggere il servizio Internet satellitare di Viasat.
Viasat ha dichiarato in una nota ufficiale che l’attacco informatico è stato organizzato su due fronti, contro la sua rete KA-SAT e ha provocato la sovrascrittura di comandi software dannosi nella memoria interna del modem, rendendo inutilizzabili decine di migliaia di modem/router in tutta Europa. Secondo le fonti pubblicate, il blackout di Viasat, avvenuto subito dopo che la Russia fatto partire l’invasione dell’Ucraina (il 24 febbraio), ha interrotto il servizio modem sia in Francia che in Italia, gestita per conto di Viasat dall’italiana Skylogic (azienda del gruppo Eutelsat) e ha persino fermato le turbine eoliche in Germania.
Dopo diversi giorni di offline per i servizi Viasat, la società ha comunicato che il suo intervento è stato composto in parte da sostituzione fisica dei modem/router infettati e in parte da un reset con reinstallazione completa del firmware.
I ricercatori di SentinelLab precisano che le indagini sull’incidente e sulla scoperta del nuovo wiper sono ancora in divenire. Ma hanno diverse prove tra cui sovrapposizioni di codice e altri test che collegano il malware all’attacco contro il colosso della rete satellitare. I ricercatori hanno definito la risposta pubblica di Viacom “incompleta” e hanno affermato che il loro studio tecnico ha rivelato parallelismi con gli attuali attacchi malware VPNFilter collegati a un noto gruppo APT (Sandworm) riconducibile direttamente governo russo, come riportato dall’FBI stessa.
Le indagini sul wiper AcidRain
“Valutiamo con media certezza che ci sono somiglianze di sviluppo tra AcidRain e un plugin distruttivo di fase 3 VPNFilter. Nel 2018, l’FBI e il Dipartimento di giustizia hanno attribuito la campagna VPNFilter al governo russo”, affermano i ricercatori di SentinelLabs.
Notando che AcidRain è il settimo virus wiper correlato all’invasione russa dell’Ucraina, il team di SentinelLabs ha dichiarato che il file sospetto è stato inviato il 15 marzo al servizio multi-scanner VirusTotal dall’Italia con il nome “ukrop“, riconosciuto dannoso da 29 vendors su 61. Si tratta di un file binario ELF e benché il nome del file può lasciare spazio a diverse interpretazioni, l’analisi in questione di SentinelLabs è stata riconosciuta come coerente dalla stessa Viasat, che lo ha confermato pubblicamente.
Continua su : Fonte Originale Completo Cyber Security 360: