Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Acid Rain. Il wiper che spazza via router, satelliti e centrali eoliche.

Redazione RHC : 4 Aprile 2022 15:19

Nel febbraio 2022 è stato rivelato un attacco informatico ad un satellite di comunicazione che ha causato enormi danni all’Ucraina e all’Europa. Tale attacco è stato causato dal nuovo malware di tipo wiper chiamato “Acid Rain”.

Il 24 febbraio, il satellite di comunicazione ‘KA-SAT’ gestito dal provider di servizi Internet Viasat è stato colpito da un attacco informatico, che ha colpito l’Ucraina e altri paesi europei.

Il malware, ha spazzato via migliaia di modem e router Viasat KA-SAT, lasciando molti ucraini senza servizi Internet e interrompendo le comunicazioni per oltre 5.000 turbine eoliche in Germania.

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Secondo la società di sicurezza SentinelOne, l’attacco informatico ha utilizzato un malware che l’azienda ha chiamato “Acid Rain“.

Il malware ha la capacità di forzare i nomi dei file sui dispositivi e rimuoverli.

La causa che ha portato ad identificare Acid Rain come causa degli hack precedentemente riportati, è stato un file chiamato “ukrop” che è stato caricato su VirusTotalil 15 marzo.

Quando viene decompresso, questo file binario distrugge l’intero file system del router o modem compromesso. Inoltre, la memoria come la memoria flash e la scheda SD/MMC, i dati come i dispositivi a blocco virtuale verranno anche essi cancellati e infine, viene riavviato il dispositivo per renderlo completamente inutilizzabile.

I ricercatori di SentinelOne hanno commentato su AcidRain:

“Questo file binario cancella completamente i file sul file system e vari dispositivi di archiviazione noti”.

Poiché si presume che il nome del file “ukrop” derivi dall’abbreviazione “Ukr aine Operation” o dal nome dispregiativo “Ukrop” che i russi usano per riferirsi agli ucraini, Sentinel One è “Ukrain One”.

AcidRain potrebbe essere stato sviluppato pensando ad un attacco contro l’Ucraina.

Una portavoce di Viasat ha detto a Bleeping Computer

“Il rapporto di SentinelOne sui binari ukrop è coerente con i fatti contenuti nel nostro rapporto sui risultati degli incidenti”.

Secondo Bleeping Computer, questa è la settima volta che un malware di tipo wiper viene identificato in Ucraina dall’inizio del 2022.

SHA2569b4dfaca873961174ba935fddaf696145afe7bbf5734509f95feb54f3584fd9a
SHA186906b140b019fdedaaba73948d0c8f96a6b1b42
MD5ecbe1b1e30a1f4bffaf1d374014c877f
Nomeukrop
MagiaELF MSB a 32 bit eseguibile, MIPS, MIPS-I versione 1 (SYSV), collegato staticamente, strippato
Visto per la prima volta15-03-2022 15:0

Come funziona AcidRain

Il funzionamento di AcidRain è relativamente semplice e richiede un bruteforce, questo potrebbe significare che gli aggressori non abbiano familiarità con i dettagli del firmware di destinazione degli apparati e che lo strumento risulta generico e riutilizzabile.

Il file binario esegue una pulizia approfondita del filesystem. Se il codice è in esecuzione con root, AcidRain esegue una sovrascrittura ricorsiva iniziale ed elimina i file dal filesystem.

In seguito, tenta di distruggere i dati nei seguenti file del dispositivo di archiviazione:

Targeted Device(s)Description
/dev/sd*A generic block device
/dev/mtdblock*Flash memory (common in routers and IoT devices)
/dev/block/mtdblock*Another potential way of accessing flash memory
/dev/mtd*The device file for flash memory that supports fileops
/dev/mmcblk*For SD/MMC cards
/dev/block/mmcblk*Another potential way of accessing SD/MMC cards
/dev/loop*Virtual block devices

Questo wiper esegue questa iterazione sui file del dispositivo (ad es. mtdblock0 – mtdblock99), apre i file e li sovrascrive con un massimo di 0x40000 byte di dati oppure (nel caso del file del dispositivo /dev/mtd*) utilizza il seguenti IOCTLS per cancellarlo: MEMGETINFO, MEMUNLOCK, MEMERASE e MEMWRITEOOB. 

Per assicurarsi che questo sia stato eseguito correttamente, gli sviluppatori hanno predisposto l’esecuzione di fsyncsyscall.

Quando viene utilizzato il metodo di sovrascrittura al posto degli IOCTL, viene copiata un’area di memoria inizializzata come matrice di numeri interi a 4 byte che iniziano 0xffffffffe in modo che decrementano a ciascun indice. 

Questo corrisponde a ciò che altri avevano visto e analizzato su Twitter.

Il codice per entrambi i metodi di cancellazione è il seguente:

Una volta completati i vari processi di pulizia, il dispositivo viene riavviato.

In questo modo il dispositivo viene reso inutilizzabile.

Una stranezza interessante

Nonostante quello che l’invasione ucraina ci ha insegnato, il malware wiper è relativamente raro. Ancora di più il malware wiper rivolto a router, modem o dispositivi IoT.

Il caso più notevole è VPNFilter, un malware modulare rivolto ai router SOHO e ai dispositivi di archiviazione QNAP, scoperto da Talos. Questo è stato seguito da un atto d’accusa dell’FBI che ha attribuito l’operazione alla Russia (APT28, in particolare). 

Più recentemente, la NSA e la CISA hanno attribuito VPNFilter a Sandworm (a un diverso attore di minacce della stessa organizzazione, il GRU della Federazione Russa) poiché il National Cyber ​​Security Center (NCSC) del Regno Unito lo ha descritto come il successore di VPNFilter, Cyclops Blink .

VPNFilter includeva un’impressionante gamma di funzionalità sotto forma di plug-in distribuiti selettivamente sui dispositivi infetti. La funzionalità spazia dal furto di credenziali al monitoraggio dei protocolli SCADA Modbus. Tra i suoi numerosi plug-in, includeva anche funzionalità per cancellare e bloccare i dispositivi, nonché DDoS verso determinati target.

Conclusioni

Mentre consideriamo quello che è forse il più importante attacco informatico nell’attuale invasione russa dell’Ucraina, ci sono molte domande aperte. 

Nonostante la dichiarazione di Viasat affermi che non vi è stato alcun attacco alla catena di approvvigionamento o uso di codice dannoso sui router interessati, si paventa l’ipotesi che gli aggressori abbiano distribuito AcidRain (e forse altri binari e script) su questi dispositivi per condurre le loro operazioni.

Anche se non possiamo collegare definitivamente AcidRain a VPNFilter (o al più grande cluster di minacce Sandworm), notiamo una valutazione di confidenza media delle somiglianze di sviluppo non banali tra i loro componenti e speriamo che la comunità di ricerca continui a contribuire con i propri risultati nello spirito di collaborazione che ha permeato il settore dell’intelligence sulle minacce nell’ultimo mese.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

“Italia, Vergognati! Paese Mafioso!”. Insulti di Nova all’Italia dopo l’Attacco al Comune di Pisa

I black hacker di NOVA tornano a colpire, e questa volta con insulti all’Italia dopo la pubblicazione dei dati del presunto attacco informatico al Comune di Pisa. Dopo aver rivendicato l’...

Europol Operazione RapTor: 270 arresti e 184 milioni sequestrati. Crollano i mercati del Dark Web

Un’operazione globale di contrasto coordinata dall’Europol ha inferto un duro colpo alla criminalità underground, con 270 arresti tra venditori e acquirenti del dark web in dieci pa...

Scoperto il primo bug 0day da una AI sul kernel Linux! Un punto di svolta nel bug hunting?

Una vulnerabilità zero-day nel kernel Linux, è stata scoperta utilizzando il modello o3 di OpenAI. Questa scoperta, alla quale è stata assegnata la vulnerabilità CVE-2025-37899, se...

Hai seguito un bel tutorial su TikTok e non sei stato attento? Bravo, ti sei beccato un malware!

In un preoccupante segnale dell’evoluzione delle tattiche cybercriminali, i threat actor stanno ora sfruttando la popolarità di TikTok come canale per la distribuzione di malware avanzati ...

Lumma Stealer: inizio del takedown o solo una mossa tattica?

Nelle ultime ore si è assistito a un grande clamore mediatico riguardante il “takedown” dell’infrastruttura del noto malware-as-a-service Lumma Stealer, con un’operazi...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006