2022年俄乌冲突网络战争中的酸雨行动

执行摘要

• 2022 年 2 月 24 日星期四，一次网络攻击导致乌克兰的 Viasat KA-SAT 调制解调器无法运行。

• 此次攻击的后果是，德国 5,800 台 Enercon 风力涡轮机无法进行远程监控或控制。

• Viasat 于 2022 年 3 月 30 日星期三发表的声明对这次袭击提供了有点合理但不完整的描述。

• SentinelLabs 的研究人员发现了新的恶意软件，我们将其命名为“AcidRain”。

• AcidRain 是一种 ELF MIPS 恶意软件，旨在清除调制解调器和路由器。

• 我们以中等可信度评估 AcidRain 与 VPNFilter 第 3 阶段破坏性插件之间存在开发相似性。2018 年，美国联邦调查局和司法部将 VPNFilter 活动归咎于俄罗斯政府

• AcidRain 是与俄罗斯入侵乌克兰有关的第七个擦除恶意软件。

• 更新：Viasat 在向记者发布的声明中证实，在 2 月 24 日针对其调制解调器的攻击中使用了 AcidRain 擦除器。

语境

俄罗斯入侵乌克兰包括大量网络行动，这些行动考验了我们对网络在现代战争中的作用的集体假设。一些评论员对“缺乏网络”表示出奇怪的失望，而那些身处第一线的人则对常规战争中伴随的大量网络行动感到不知所措。从 2022 年初开始，我们已经处理了针对乌克兰的六种不同的擦除器恶意软件：WhisperKill、WhisperGate、HermeticWiper、IsaacWiper、CaddyWiper 和 DoubleZero。这些攻击本身就很引人注目。但传闻中的“卫星调制解调器黑客”却是一个显而易见的问题。这次特殊的攻击超出了乌克兰的范围。

我们最初注意到 Viasat KA-SAT 路由器存在问题，是因为据报道德国有 5,800 台 Enercon 风力涡轮机发生故障。需要澄清的是，风力涡轮机本身并未停止运行，但由于卫星通信问题，“风力涡轮机的远程监控和控制”变得不可用。当时正值俄罗斯入侵乌克兰，人们怀疑有人试图通过阻碍卫星连接来破坏乌克兰军事指挥和控制能力，并影响到德国关键基础设施。目前尚无技术细节；技术猜测层出不穷。

2022 年 3 月 30 日星期三，Viasat 终于发布声明，称攻击分为两个阶段：首先，来自“位于乌克兰境内的多个 SurfBeam2 和 SurfBeam2+ 调制解调器和 [...其他本地设备...]”的拒绝服务攻击，导致 KA-SAT 调制解调器暂时下线。然后，调制解调器逐渐从 Viasat 服务中消失。实际服务提供商正处于复杂的安排之中，Eutalsat 提供服务，但作为过渡计划的一部分，它由一家名为 Skylogic 的意大利公司管理。

Viasat 的解释

截至撰写本文时，Viasat 尚未提供任何技术指标或事件响应报告。他们确实提供了攻击链的总体情况，但结论却难以令人信服。

Viasat 报告称，攻击者利用配置错误的 VPN 设备，获得了 KA-SAT 网络信任管理部分的访问权限，横向移动，然后利用其访问权限“同时对大量家用调制解调器执行合法的、有针对性的管理命令”。Viasat 继续补充道：“这些破坏性命令覆盖了调制解调器闪存中的关键数据，导致调制解调器无法访问网络，但并非永久无法使用”。

目前还不清楚合法命令如何对调制解调器产生如此大的破坏性影响。通过推送更新、脚本或可执行文件更有可能实现可扩展的破坏。也很难想象合法命令如何能够实现 DoS 效果或使设备无法使用但不会永久损坏。

实际上，Viasat 事件初步报告提出了以下要求：

1. 可以通过 KA-SAT 管理段批量推送到调制解调器上

2. 会覆盖调制解调器闪存中的关键数据

3. 导致设备无法使用，需要恢复出厂设置或更换，但不是永久无法使用。

考虑到这些要求，我们提出了另一种假设：威胁行为者在供应链攻击中使用了 KA-SAT 管理机制来推动专为调制解调器和路由器设计的擦除器。这种设备的擦除器会覆盖调制解调器闪存中的关键数据，使其无法运行，需要重新刷新或更换。

在这篇文章发布后，Viasat向记者证实，我们的分析与他们的报道一致。

Viasat 告诉BleepingComputer，“SentinelLabs 报告中关于 ukrop 二进制文件的分析与我们报告中的事实一致 - 具体来说，SentinelLabs 识别出使用合法管理命令在调制解调器上运行的破坏性可执行文件，正如 Viasat 之前描述的”。

The AcidRain Wiper

2022 年 3 月 15 日星期二，一个可疑的上传引起了我们的注意。一个 MIPS ELF 二进制文件从意大利上传到 VirusTotal，名为“ukrop”。我们不知道如何准确解析这个名字。可能的解释包括“ukr”aine“op”eration 的简写，乌克兰爱国者协会的首字母缩写，或俄罗斯对乌克兰人的种族诽谤——“ Укроп ”。只有 Viasat 案中的事件响应者才能明确地说这是否确实是此特定事件中使用的恶意软件。我们将其用途作为一个合适的假设，并将描述其功能、奇特的开发特征以及与之前需要进一步研究的俄罗斯行动的可能重叠。

样本

AcidRain 的功能相对简单，需要进行暴力破解，这可能表明攻击者要么不熟悉目标固件的细节，要么希望该工具保持通用性和可重复使用性。二进制文件会对文件系统和各种已知存储设备文件进行深度擦除。如果代码以 root 身份运行，AcidRain 会对文件系统中的非标准文件进行初始递归覆盖和删除。

递归删除非标准文件夹中的文件

随后，它会尝试删除（破坏）以下存储设备文件中的数据：

此Wiper会遍历所有可能的设备文件标识符（例如 mtdblock0 – mtdblock99），打开设备文件，并用最多 0x40000 字节的数据覆盖它，或者（对于 /dev/mtd* 设备文件）使用以下 IOCTLS 擦除它：MEMGETINFO、MEMUNLOCK、MEMERASE 和 MEMWRITEOOB。为了确保这些写入已提交，开发人员运行系统fsync调用。

生成用于覆盖存储的恶意数据的代码

当使用覆盖方法而不是 IOCTL 时，它会从初始化为 4 字节整数数组的内存区域复制，该数组0xffffffff从每个索引开始并递减。这与其他人在漏洞利用发生后看到的情况相符。

Surfbeam2 调制解调器攻击前后的并排比较

两种擦除方法的代码如下所示：

擦除设备的机制：写入 0x40000（左）或使用 MEM* IOCTLS（右）

一旦各种擦除过程完成，设备就会重新启动。

重复尝试重启设备

这会导致设备无法运行。

有趣的奇事

尽管乌克兰入侵事件给我们带来了教训，但擦除恶意软件相对罕见。针对路由器、调制解调器或物联网设备的擦除恶意软件尤其罕见。最引人注目的案例是 VPNFilter，这是一种模块化恶意软件，针对 SOHO 路由器和 QNAP 存储设备，由Talos发现。随后，FBI 起诉书将该行动归咎于俄罗斯（特别是 APT28）。最近，美国国家安全局和 CISA 将 VPNFilter 归咎于 Sandworm（另一个威胁行为者，归咎于同一组织俄罗斯 GRU），正如英国国家网络安全中心 (NCSC) 所描述的 VPNFilter 的继任者 Cyclops Blink。

VPNFilter 包含一系列令人印象深刻的功能，这些功能以多阶段插件的形式选择性地部署到受感染的设备上。功能范围从凭据窃取到监控 Modbus SCADA 协议。在其众多插件中，它还包括擦除和破坏设备以及对目标进行 DDoS 的功能。

我们之所以提起 VPNFilter，并不是因为它与 AcidRain 表面上相似，而是因为特定的 VPNFilter 插件和 AcidRain 之间存在有趣（但尚无定论）的代码重叠。

VPNFilter 第 3 阶段插件 –“dstr”

在首次发现 VPNFilter 之后，研究人员发现了更多插件，试图了解僵尸网络的大规模传播及其诸多复杂性。其中包括以前未知的插件，包括“dstr”。正如其名称所暗示的那样，它是一个“破坏”模块，旨在补充缺少“kill”命令（用于擦除设备）的第 2 阶段插件。

tlsh fuzzy hashing最初引起了我们的注意，这是一个较新的匹配库，事实证明它在识别相似样本方面比ssdeep或imphash更有效。与 AcidRain 的相似度为 55%，而 VT 语料库中没有其他样本被标记。仅凭这一点还不足以最终判断这两个样本是相似的，但它确实值得进一步调查。

VPNFilter 和 AcidRain 既有明显的相似之处，也有明显的不同之处。它们都是 MIPS ELF 二进制文件，它们共享的大部分代码似乎源自静态链接的libc。它们似乎还共享一个编译器，最明显的证据是相同的 Section Headers Strings Tables。

VPNFilter 和 AcidRain 的节标题字符串表

此外，还存在其他开发怪癖，例如在新的syscall之前将前一个syscall号存储到全局位置。目前，我们无法判断这是一个共享的编译器优化还是一个奇怪的开发人员怪癖。

更值得注意的是，虽然 VPNFilter 和 AcidRain 的工作方式非常不同，但两个二进制文件都使用 MEMGETINFO、MEMUNLOCK 和 MEMERASE IOCTLS 来擦除 mtd 设备文件。

左侧为 AcidRain；右侧为 VPNFilter

VPNFilter 的“dstr”插件和 AcidRain 之间也存在显著差异。后者似乎是一个更加草率的产品，无法始终达到前者的编码标准。例如，请注意重复使用进程分叉和不必要的重复操作。

它们似乎也有不同的用途，VPNFilter 插件针对具有硬编码路径的特定设备，而 AcidRain 则采用“一刀切”的方式来清除设备数据。通过暴力破解设备文件名，攻击者可以更轻松地重复使用 AcidRain 来攻击更多不同的目标。

我们邀请研究界对这种发展重叠进行压力测试并贡献他们自己的研究结果。

结论

当我们考虑俄罗斯入侵乌克兰事件中可能最重要的网络攻击时，仍有许多悬而未决的问题。尽管 Viasat 的声明声称受影响的路由器没有受到供应链攻击或使用恶意代码，但我们提出了更合理的假设，即攻击者将 AcidRain（可能还有其他二进制文件和脚本）部署到这些设备上以进行操作。

虽然我们无法明确地将 AcidRain 与 VPNFilter（或更大的 Sandworm 威胁集群）联系起来，但我们注意到，它们的组件之间存在着非平凡的发展相似性，并且希望研究界能够继续本着合作精神贡献他们的研究成果，这种精神在过去一个月里已经渗透到了威胁情报行业。

参考

https://www.wired.com/story/viasat-internet-hack-ukraine- Russia

/ https://www.cisa.gov/uscert/ncas/alerts/aa22-076a

https://media.defense.gov /2022/Jan/25/2002927101/-1/-1/0/CSA_PROTECTING_VSAT_COMMUNICATIONS_01252022.PDF

https://www.airforcemag.com/hackers-attacked-satellite-terminals-through-management-network-viasat-officials-say/

https://nps.edu/documents/104517539/104522593/RELIEF12-4_QLR.pdf/9cc03d09-9af4-410e-b601-a8bffdae0c30

https://www.reuters.com/business/media-telecom/exclusive-hackers-who-crippled-viasat-modems-ukraine-are-still-active-company-2022-03-30/

https://www.reuters.com/business/media-telecom/exclusive-hackers-who-crippled-viasat-modems-ukraine-are-still-active-company-2022-03-30/ viasat.com/about/newsroom/blog/ka-sat-n etwork-cyber-attack

-overview/ https://blog.talosintelligence.com/2018/05/VPNFilter.html

https://blog.talosintelligence.com/2018 /06/vpnfilter-update.html?m=1

https://blog.talosintelligence.com/2018/09/vpnfilter-part-3.html

https://www.ncsc.gov.uk/files/Cyclops-Blink-Malware-Analysis-Report.pdf

https://www.trendmicro.com/en_us/research/21/a/vpnfilter-two-years-later-routers-still-compromished-.html

https://www.cisa.gov/uscert/ncas/alerts/ AA22-054a