Nuovi dettagli sull’attacco fatto il 24 febbraio ai danni della rete KA-Sat di Viasat, la quale ha impedito a tantissimi utenti europei di poter accedere liberamente ad internet. Gli esperti di SentinelOne hanno scoperto che è stato iniettato un malware nel sistema da cybercriminali russi. Si tratta del wiper AcidRain e la certezza è arrivata dopo l’analisi del codice su VirusTotal da un utente italiano.
AcidRain. Europa in down a causa del malware
Nel report di SentinelOne si leggono dei riferimenti al comunicato emanato da Viasat, però viene anche evidenziato che l’azienda non ha dato tutte le info del caso. Pare infatti che non abbia specificato come la sovrascrittura dei dati nella memoria flash dei modem sia stata effettuata. Il 15 marzo è stato caricato su VirusTotal un file binario MIPS ELF chiamato “ukrop” e gli esperti hanno scoperto per l’appunto che si tratta del wiper AcidRain. Il codice del malware fa sì che le funzioni del filesystem vengano cancellate, andando a sovrascrivere dati ed effettuando un riavvio del modem.
Ciò che stupisce è che AcidRain presenta anche delle similituidini con un altro wiper molto conosciuto, ossia VPNFilter, il quale è stato creato da hacker del gruppo FancyBear o Sandworm, i quali sono entrambi collegati a intelligence militare russe. AcidRain si unisce agli altri sei wiper creati per attaccare l’Ucraina. Gli altri sono WhisperKill, WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper e DoubleZero. Le indagini sono ancora in corso, ma pare abbastanza sicuro che il wiper utilizzato sia AcidRain e che tutto sia causa dell’intelligence russa.