AcidRainはWiperです。
またかという感じです。
こんな感じです。
- ウクライナをはじめとしたヨーロッパで活動が観測されている
- KA-SAT衛星ブロードバンドサービスを標的にしているマルウェアで、SATCOMモデムをwipeする
KA-SATはユーテルサット社が保有する通信衛星で、ヨーロッパ、北アフリカ、中東などを中心にデジタル放送サービスを提供しています。 - 徹底的なwipe機能を持つ
なにかを選別して削除するような機構にはなっていません。
すべてのストレージデバイスからすべてのファイルを削除します。
侵害されたルーターまたはモデムのファイルシステム全体を検査し、フラッシュメモリ、SDカード、および検出可能なすべての仮想ブロックデバイスというように、可能なすべてのデバイス識別子を使用してwipeします。 - 機器が動作しなくする
すべてのデバイスからすべてのファイルを削除し、削除完了後に機器を再起動します。
動作に必要なすべてのファイルが削除されていますので再起動することによって機器は単なる箱になります。衛星モデムとしての効能は発揮できない状態になります。
いわゆるbrickというやつです。交換するしかない状態です。 - 一部モジュールにおいて特定APTのツールとの類似性を確認
ioctlというデバイスドライバを制御したりする際に使用されるシステムコールを行うunixのコマンドです。
解析にあたった研究者はこのioctlの使われ方などがGRU hackers(Fancy Bear or
Sandworm)の使っているVPNFilter malwareの「dstr」wiper
pluginと類似点があることを中程度の自信を持って評価しているとコメントしています。
この攻撃そのものは2月24日から観測されていましたが、すべてが削除されていたこともあり、当時その詳細は明らかになっていませんでした。
その後VirusTotalにアップロードされたバイナリの中にこのAcidRainのバイナリが確認され解析が行われました。
この攻撃で使われたものとVirusTotalで発見されたAcidRainが完全に同じものなのかについてはまだ確認が取れていないようですが、被害後の衛星モデムの解析結果からその類似性が高いことが確認されています。
DoubleZero、HermeticWiper、IsaacWiper、CaddyWiper、WhisperKill、WhisperGate、AcidRain。
すべて今年になってからウクライナで観測されているwiperです。7種も確認されています。
こんなに短い期間でこんなに特定の地域で連続的にwiperが多数拡散される例はこれまでなかったことかもしれません。
ここまでくるとこの流れは金銭目的の犯罪などではなく、新しい形式の戦争の姿なのかもしれないと感じます。
参考記事(外部リンク):AcidRain | A Modem Wiper Rains Down on Europe
www.sentinelone.com/labs/acidrain-a-modem-wiper-rains-down-on-europe/
| この記事をシェア |
|
|---|
