AcidRain Malware

Un autre logiciel malveillant d'effacement de données utilisé lors d'attaques contre des cibles ukrainiennes a été découvert par des chercheurs en cybersécurité. Baptisée AcidRain, la menace a été déployée dans le cadre d'une attaque nuisible visant à perturber les modems de gestion des satellites. L'attaque a eu lieu le 24 février 2022 et visait le service haut débit par satellite KA-SAT en effaçant les données des modems SATCOM et en les rendant inutilisables.

La menace de malware est conçue pour se frayer un chemin dans les appareils, puis effacer chaque fichier qu'elle trouve sur les systèmes piratés. Une fois déployé, AcidRain parcourt tout le système de fichiers du modem infecté. De plus, il peut effacer les mémoires flash, les cartes SD/MMC et tout périphérique de bloc virtuel. Il essaie d'atteindre ses objectifs néfastes en utilisant tous les dispositifs possibles qu'il identifie. Les fichiers détectés sont détruits en ayant leur contenu jusqu'à 0x40000 octets de données écrasés. AcidRain utilise également les appels système IOCTL (contrôle d'entrée/sortie) MEMGETINFO, MEMUNLOCK, MEMERASE et MEMWRITEOOB. Après avoir effacé les fichiers, le logiciel malveillant redémarrera l'appareil, le laissant dans un état inutilisable.

Les chercheurs qui ont découvert et analysé les opérations menaçantes l'ont décrit comme une attaque de la chaîne d'approvisionnement qui a livré un essuie-glace conçu spécifiquement pour effacer les modems et les routeurs. Cependant, Viasat, le fabricant des appareils ciblés, a repoussé cette conclusion en déclarant qu'il n'avait trouvé aucune preuve d'interférence dans la chaîne d'approvisionnement. La société a tout de même reconnu que l'exécutable destructeur du logiciel malveillant AcidRain avait été déployé sur les appareils à l'aide d'une commande de gestion légitime.