ウクライナとEUの衛星通信モデムのデータを丸ごと消去するマルウェア「AcidRain」が見つかる

2022年2月にウクライナやヨーロッパに甚大な被害をもたらした通信衛星へのサイバー攻撃が、新たなワイパー型マルウェア「AcidRain」によるものだったことがわかったとの調査結果が発表されました。

AcidRain | A Modem Wiper Rains Down on Europe - SentinelOne
https://www.sentinelone.com/labs/acidrain-a-modem-wiper-rains-down-on-europe/

Viasat confirms satellite modems were wiped with AcidRain malware
https://www.bleepingcomputer.com/news/security/viasat-confirms-satellite-modems-were-wiped-with-acidrain-malware/

2月24日に、インターネットサービスプロバイダーのViasatが管理する通信衛星「KA-SAT」がサイバー攻撃を受け、ウクライナをはじめとするヨーロッパが影響を受けました。

ヨーロッパをカバーする衛星「KA-SAT」がロシアのウクライナ侵攻と同時に攻撃を受けていたことが判明 - GIGAZINE

セキュリティ企業・SentinelOneによると、このサイバー攻撃には同社が「AcidRain」と名付けたマルウェアが用いられたとのこと。このマルウェアには、デバイス内のファイル名を総当たりで検索し、該当するファイルを根こそぎ削除する機能が搭載されていました。

総当たりという強引な手段が用いられていることから、SentinelOneは「AcidRain」を用いた攻撃者が衛星通信のデバイスのファイルシステムやファームウェアに精通していないか、または別の対象に転用可能なマルウェアにする意図があったことを示唆していると分析しています。

AcidRainが2月に発生したハッキングの元凶であると突き止められた直接のきっかけは、3月15日にVirusTotalにアップロードされた「ukrop」というファイルがきっかけです。このバイナリファイルは、展開されると侵入したルーターやモデムのファイルシステム全体を破壊します。また、フラッシュメモリやSD／MMCカードなどのストレージ、仮想ブロックデバイスなどのデータも、使用されうるあらゆるデバイス識別子を使って消去してしまうとのこと。そして、最後にデバイスを再起動させて完全に使用不能にします。

SentinelOneの研究者は、AcidRainについて「このバイナリファイルは、ファイルシステムおよび様々な既知のストレージデバイスのファイルを徹底的に消去します」とコメントしました。

「ukrop」というファイル名が「Ukraine Operation(ウクライナ作戦)」の略称か、ロシア人がウクライナ人を指す際に使う蔑称「Ukrop」を由来にしていると推測されることから、SentinelOneは「AcidRainはウクライナへの攻撃を念頭に置いて開発されたものである可能性がある」と分析しています。

Viasatの広報担当者は、IT系ニュースサイトのBleepingComputerに対し、「ukropバイナリに関するSentinelOneのレポートは、我々の事故調査結果のレポートに記載された事実と一致しています」とコメントしました。

BleepingComputerによると、2022年に入ってからウクライナでワイパー型マルウェアが特定されたのはこれで7件目とのことです。