2 月 24 日，针对 KA-SAT 卫星宽带服务擦除 SATCOM 调制解调器的网络攻击中部署了一种新发现的擦除路由器和调制解调器的数据擦除恶意软件，影响了乌克兰的数千人以及整个欧洲的数万人。

该恶意软件被 SentinelOne 的研究人员称为 AcidRain，旨在暴力破解设备文件名并擦除它可以找到的每个文件，以便在未来的攻击中轻松重新部署。

SentinelOne 表示，这可能暗示攻击者不熟悉目标设备的文件系统和固件，或者他们不熟悉开发可重用工具的意图。

AcidRain 于 3 月 15 日首次被发现，当时它从意大利的一个 IP 地址作为 32 位 MIPS ELF 二进制文件使用“ukrop”文件名上传到 VirusTotal 恶意软件分析平台。

部署后，它会通过受感染的路由器或调制解调器的整个文件系统。它还使用所有可能的设备标识符擦除闪存、SD/MMC 卡和它可以找到的任何虚拟块设备。

“二进制文件对文件系统和各种已知的存储设备文件进行深入擦除。如果代码以 root 身份运行，AcidRain 会对文件系统中的非标准文件执行初始递归覆盖和删除，” SentinelOne 威胁研究人员 Juan Andres Guerrero-Saade 和 Max van Amerongen 解释道。

为了破坏受感染设备上的数据，擦除器使用最多 0x40000 字节的数据覆盖文件内容，或使用 MEMGETINFO、MEMUNLOCK、MEMERASE 和 MEMWRITEOOB 输入/输出控制 (IOCTL) 系统调用。

在 AcidRain 的数据擦除过程完成后，恶意软件会重新启动设备，使其无法使用。

用于擦除乌克兰的卫星通信调制解调器
根据上传到 VirusTotal 的 AcidRain 二进制文件的名称，它可能是“乌克兰行动”​​的缩写，SentinelOne 表示，该恶意软件可能是专门为针对乌克兰的行动而开发的，并可能用于在 KA-SAT 网络攻击中擦除调制解调器。

“威胁参与者在供应链攻击中使用 KA-SAT 管理机制来推动为调制解调器和路由器设计的擦除器，”SentinelOne 假设。

“这种设备的擦除器会覆盖调制解调器闪存中的关键数据，使其无法操作，需要重新刷新或更换。”

这与关于 KA-SAT 事件的 Viasat 事件报告直接矛盾，该报告称“没有发现任何妥协或篡改 Viasat 调制解调器软件或固件图像的证据，也没有任何供应链干扰的证据”。

然而，Viasat 证实了 SentinelOne 的假设，称破坏数据的恶意软件是使用“合法管理”命令部署在调制解调器上的。

“SentinelLabs 报告中关于 ukrop 二进制文件的分析与我们报告中的事实一致 - 具体而言，SentinelLabs 使用 Viasat 之前描述的合法管理命令识别在调制解调器上运行的破坏性可执行文件，”Viasat 发言人告诉 ZZQIDC。

“我们希望在这项调查完成后，我们可以提供更多的取证细节。”

安全研究员鲁本·桑塔玛塔（Ruben Santamarta）也证实了使用 AcidRain 擦除调制解调器，他转储了在对 KA-SAT 的攻击中损坏的 SATCOM 调制解调器的闪存。

正如 SentinelOne 所说，Santamarta 观察到的破坏性模式与 AcidRain 的覆盖刮水器方法的输出相匹配

自 2022 年 2 月的攻击以来，Viasat 运送了近 30,000 个调制解调器以使客户重新上线，并继续加快服务恢复速度，这一事实也暗示 SentinelOne 的供应链攻击理论站得住脚。

附带说明一下，此恶意软件使用的 IOCTL 也与 VPNFilter 恶意软件“dstr”wiper 插件使用的 IOCTL 相匹配，这是一种归因于俄罗斯 GRU 黑客（Fancy Bear或Sandworm）的恶意工具。

今年针对乌克兰部署的第七个数据擦除器
AcidRain 是在针对乌克兰的攻击中部署的第七种数据擦除恶意软件，自今年年初以来，已有六种恶意软件被用于攻击该国。

乌克兰计算机应急响应小组最近报告说，它跟踪为DoubleZero的数据擦除器已被部署在针对乌克兰企业的攻击中。

在俄罗斯入侵乌克兰开始的前一天，ESET 发现了一种现在称为 HermeticWiper的数据擦除恶意软件，该恶意软件与勒索软件诱饵一起用于攻击乌克兰的组织。

俄罗斯入侵乌克兰的那天，他们还发现了一个名为 IsaacWiper 的数据擦除器和一个名为 HermeticWizard 的新蠕虫，该蠕虫用于丢弃 HermeticWiper 有效载荷。