KA-SAT的卫星调制解调器遭受AcidRain网络攻击技战术（ATT&CK TTP）应用详细分析

一、摘要

1、2022 年 2 月 24 日星期四，一次网络攻击导致乌克兰的 Viasat KA-SAT 调制解调器无法运行。

2、此次攻击的后果是，德国 5,800 台 Enercon 风力涡轮机无法进行远程监控或控制。

3、Viasat 于 2022 年 3 月 30 日星期三发表的声明对这次袭击提供了有点合理但不完整的描述。

4、SentinelLabs 的研究人员发现了新的恶意软件，我们将其命名为“AcidRain”。

5、AcidRain 是一种 ELF MIPS 恶意软件，旨在清除调制解调器和路由器。

6、我们以中等可信度评估 AcidRain 与 VPNFilter 第 3 阶段破坏性插件之间存在开发相似性。2018 年，美国联邦调查局和司法部将 VPNFilter 活动归咎于俄罗斯政府

7、AcidRain 是与俄罗斯入侵乌克兰有关的第七个擦除恶意软件。

8、更新：Viasat 在向记者发布的声明中证实，在 2 月 24 日针对其调制解调器的攻击中使用了 AcidRain 擦除器。

二、背景

俄罗斯入侵乌克兰包括大量网络行动，这些行动考验了我们对网络在现代战争中的作用的集体假设。一些评论员对“缺乏网络”表示出奇怪的失望，而那些身处第一线的人则对常规战争中伴随的大量网络行动感到不知所措。从 2022 年初开始，我们已经处理了针对乌克兰的六种不同的擦除器恶意软件：WhisperKill、WhisperGate、HermeticWiper、IsaacWiper、CaddyWiper 和 DoubleZero。这些攻击本身就很引人注目。但传闻中的“卫星调制解调器黑客”却是一个显而易见的问题。这次特殊的攻击超出了乌克兰的范围。

我们最初注意到 Viasat KA-SAT 路由器存在问题，是因为据报道德国有 5,800 台 Enercon 风力涡轮机发生故障。需要澄清的是，风力涡轮机本身并未停止运行，但由于卫星通信问题，“风力涡轮机的远程监控和控制”变得不可用。当时正值俄罗斯入侵乌克兰，人们怀疑有人试图通过阻碍卫星连接来破坏乌克兰军事指挥和控制能力，并影响到德国关键基础设施。目前尚无技术细节；技术猜测层出不穷。

2022 年 3 月 30 日星期三，Viasat 终于发布声明，称攻击分为两个阶段：首先，来自“位于乌克兰境内的多个 SurfBeam2 和 SurfBeam2+ 调制解调器和 [...其他本地设备...]”的拒绝服务攻击，导致 KA-SAT 调制解调器暂时下线。然后，调制解调器逐渐从 Viasat 服务中消失。实际服务提供商正处于复杂的安排之中，Eutalsat 提供服务，但作为过渡计划的一部分，它由一家名为 Skylogic 的意大利公司管理。

https://www.researchgate.net/publication/363558808_Space_Cybersecurity_Lessons_Learned_from_The_ViaSat_Cyberattack

2022 年 2 月 23 日，黑客攻击了意大利都灵管理中心的一个 VPN 安装，该安装为管理员和操作员提供网络访问权限。黑客获得了管理服务器的访问权限，从而可以访问有关公司调制解调器的信息。几个小时后，黑客获得了另一台服务器的访问权限，该服务器向调制解调器提供了软件更新，从而使他们能够传播擦除恶意软件AcidRain。[ 2 ]

Fortinet 漏洞

四年前，一名网络安全研究人员发现了 Fortinet（Fortinet 是一家总部位于美国的网络安全公司，销售下一代防火墙和 VPN 等）VPN 产品中的一个漏洞，该漏洞会泄露密码，HTTP 请求可以进行目录遍历（../../）到设备上存储用户名和密码的目录。实际上，如果攻击者知道在哪里查找，他们就可以发出 HTTP 请求并接收密码。此漏洞被指定为CVE-2018-13379。请注意，这是一个近4 年前的已知漏洞，在攻击发生时就已存在。该漏洞描述如下：

SSL VPN 门户网站上，Fortinet FortiOS 6.0.0 至 6.0.4、5.6.3 至 5.6.7 和 5.4.6 至 5.4.12 以及 FortiProxy 2.0.0、1.2.0 至 1.2.8、1.1.0 至 1.1.6、1.0.0 至 1.0.7 中对路径名到受限目录（“路径遍历”）的不当限制允许未经身份验证的攻击者通过特制的 HTTP 资源请求下载系统文件。

它的评级为 9.8 或严重。简而言之，此漏洞允许攻击者从默认目录导航到包含用户名和密码的另一个目录。

俄罗斯人（很可能是圣彼得堡的 GRU）利用此漏洞获取了位于意大利都灵的 ViaSat 管理控制台的访问权限。

如果都灵的人们一直警惕地进行网络威胁情报（CTI），他们就会在前一天注意到 X（Twitter）上的这个警报。

2022 年 2 月 24 日，即俄罗斯入侵乌克兰的当天，数千台 Viasat 调制解调器离线。[ 3 ]此次攻击导致德国 5,800 台Enercon风力涡轮机的远程控制出现故障，并导致欧洲数千个组织中断。[ 4 ] 美国公司Viasat的高吞吐量通讯卫星KA-SAT位于乌克兰境内的数据机遭到攻击断线，接着法国有近9,000家用户、以及欧洲电信卫星（Eutelsat）1万多名用户网路断线，并导致德国5,800多架用于发电的风机无法远端监控与控制。此次攻击起因虽然众说纷纭，但一直没有技术细节公布。但SentinelOne发现肇祸者是最新的资料删除程式。

2022 年 3 月 31 日，SentinelOne研究人员 Juan Andres Guerrero-Saade 和 Max van Amerongen 宣布发现一种代号为AcidRain 的新型擦除器恶意软件，旨在永久禁用路由器。[ 5 ] Viasat 后来证实，AcidRain 恶意软件在“网络事件”期间被使用。[ 6 ] AcidRain 与VPNFilter共享代码，后者是 FBI 归因于俄罗斯军方于 2018 年针对路由器的网络行动。[ 7 ]

SentinelOne 3月中在VirusTotal上发现一个ELF MIPS档案，档名为ukrop，疑为ukraine和operation的综合。该公司将之命名为AcidRain。AcidRain的功能很简单，透过暴力破解存取受害系统。它的binary能对档案系统及多种储存装置的档案彻底删除资料。若AcidRain以根权限执行，会先启动多次复写，并删除档案系统内非标准的档案。

2022 年 5 月 10 日，欧盟、美国和英国谴责针对 Viasat KA-SAT 网络的攻击是俄罗斯的行动。[ 8 ] [ 9 ] [ 10 ]

这个程式会扫瞄所有可能的装置档案识别符（file identifier）、启动装置档案，再以高达0x40000 bytes的资料覆写之，或使用MEMGETINFO、MEMUNLOCK、MEMERASE和MEMWRITEOOB等系统呼叫（IOCTL）指令。等删除完成，即重新启动装置，结果让装置无法作用。

Viasat公司随后公布调查结果，显示攻击有2阶段，骇客先利用乌克兰境内的多台数据机发动阻断服务攻击，造成当地KA-SAT数据机断线，之后进一步波及意大利的Viasat卫星通讯管理营运商Skylogic，导致攻击扩大到欧洲其他地区的数据机。

根据分析，AcidRain使用的IOCTL类似攻击过QNAP的VPNFilter删除程式外挂，后者被认为是俄罗斯政府御用骇客Fancy Bear或Sandworm所使用的工具。

研究人员指出，虽然资料删除程式相较其他类别的恶意程式来得罕见，但从乌克兰战争开打一个多月以来，AcidRain已是第7只，之前分别是WhisperKill、WhisperGate、HermeticWiper、IsaacWiper、CaddyWiper和DoubleZero。

三、Viasat 的解释

1、KA-SAT遭受网络攻击情况概述

2022年2月24日，在俄乌冲突爆发伊始，”的卫讯（Viasat）KA-SAT网络遭受多路蓄意网络攻击，导致乌克兰与欧洲部分区域KA-SAT卫星宽带用户服务中断。2022年3月30日，卫讯（Viasat）公司发布了KA-SAT遭受网络攻击的情况概述和初步分析报告，相关研究机构及美国政府等也对此次事件进行了评述。KA-SAT卫星点波束覆盖区域2021年4月，Viasat宣布完成对欧洲通信卫星（Eutelsat）欧洲宽带业务基础设施（EBI）收购，拥有了KA-SAT卫星和相关地面设施的完全所有权。目前KA-SAT网络仍由Eutelsat子公司Skylogic代表Viasat进行运营管理，这一安排原本预计将在今年晚些时候结束。Viasat“Tooway”调制解调器用户界面

此次网络攻击主要针对Viasat KA-SAT网络特定用户群体，并未对航空公司或Viasat 的美国政府客户造成干扰，受影响的固定宽带用户均使用“Tooway”品牌调制解调器。事件发生之后，Viasat公司立即开始执行针对性处置措施，部分网络在数小时内基本稳定，几天内完全稳定。此外，Viasat还采取了主动的防护措施，以确保其他重要的后台应用和报告/分析服务不受影响。

在持续监控网络行为和活动的同时，Viasat公司还与第三方事件响应和取证负责人Mandiant一起，继续与Eutelsat/Skylogic公司、执法部门以及美国和国际政府机构合作，调查此次网络攻击。目前，调查仍在进行中。初步分析认为，此次攻击的主要目的是中断服务。

没有证据表明任何终端用户数据被访问或泄露，也没有任何客户个人设备（个人电脑、移动设备等）被不当访问，也没有任何证据表明KA-SAT卫星平台或其配套卫星地面设施被入侵或损坏。Viasat正在与业务分销商密切合作，让用户重新入网。由于业务性质，Viasat通常不直接与终端用户对接，而是通过分销商直接与终端客户沟通，通过识别受影响的客户，为恢复服务提供支持。

一些用户调制解调器已收到更新提醒，当更新不足以及时恢复功能时，Viasat将提供新的调制解调器。目前，Viasat已经向经销商发放了数以万计的替代型调制解调器，并将根据需要提前备货。

2022年2月24日UTC时间03时02分左右，Viasat KA-SAT宽带用户区域网络检测到大量恶意流量集中占网，这些流量来自位于乌克兰境内的多个SurfBeam2和SurfBeam 2+调制解调器和/或相关用户设备，针对性的服务拒止攻击使得许多正常用户调制解调器离网掉线。Viasat相关人员对上述情况进行了分析，并努力迫使恶意调制解调器退网，但网络上陆续出现了其他类型调制解调器，在接下来的几个小时内持续进行流量占网攻击，降低了合法调制解调器入网/在网活动能力。

与此同时，Viasat发现，在同一宽带用户服务区域中，在线调制解调器数量逐渐减少，这种状态一直持续到大约UTC时间04时15分。评估发现，欧洲大部分地区大量用户调制解调器在大约45分钟的时间内陆续退出KA-SAT网络，所有这些调制解调器都位于同一服务区。最终，数以万计此前在线正常使用的调制解调器从KA-SAT网络上断开，并且在这些调制解调器尝试重新进入网络时均以失败告终。

此次袭击影响了乌克兰境内大多数合法KA-SAT网络用户以及包括欧洲德国、法国、意大利、匈牙利、希腊和波兰等地区的大量固定宽带服务用户。随后调查分析发现，攻击者利用VPN设备中的错误配置入侵地面网络，从而获取了对KA-SAT网络可信网管段的远程访问。攻击者通过这个受信任的管理网络横向移动到用于管理和操作该网络的特定网段，然后利用该网络对大量用户调制解调器同时下达了合法的、有针对性的管理命令。

这些破坏性命令覆盖了调制解调器闪存中的关键数据，使调制解调器无法访问网络，但不是永久不可用。Viasat已对受影响的调制解调器进行了详尽的分析，已确认没有任何电气组件异常或受到影响，没有任何调制解调器物理或电子组件受到影响或损坏，没有证据表明Viasat调制解调器软件或固件映像受到任何损坏或篡改，也没有证据表明存在任何供应链干扰。调制解调器可以通过恢复出厂设置后复位。迄今为止，没有证据表明Viasat网络操作中涉及的标准调制解调器软硬件更新进程在此次攻击中被使用或泄露。

2、Viasat 报告

攻击者利用配置错误的 VPN 设备，获得了 KA-SAT 网络信任管理部分的访问权限，横向移动，然后利用其访问权限“同时对大量家用调制解调器执行合法的、有针对性的管理命令”。Viasat 继续补充道：“这些破坏性命令覆盖了调制解调器闪存中的关键数据，导致调制解调器无法访问网络，但并非永久无法使用”。

目前还不清楚合法命令如何对调制解调器产生如此大的破坏性影响。通过推送更新、脚本或可执行文件更有可能实现可扩展的破坏。也很难想象合法命令如何能够实现 DoS 效果或使设备无法使用但不会永久损坏。

实际上，Viasat 事件初步报告提出了以下要求：

1、可以通过 KA-SAT 管理段批量推送到调制解调器上

2、会覆盖调制解调器闪存中的关键数据

3、导致设备无法使用，需要恢复出厂设置或更换，但不是永久无法使用。

考虑到这些要求，我们提出了另一种假设：威胁行为者在供应链攻击中使用了 KA-SAT 管理机制来推动专为调制解调器和路由器设计的擦除器。这种设备的擦除器会覆盖调制解调器闪存中的关键数据，使其无法运行，需要重新刷新或更换。

在这篇文章发布后，Viasat向记者证实，我们的分析与他们的报道一致。

Viasat 告诉BleepingComputer，“SentinelLabs 报告中关于 ukrop 二进制文件的分析与我们报告中的事实一致 - 具体来说，SentinelLabs 识别出使用合法管理命令在调制解调器上运行的破坏性可执行文件，正如 Viasat 之前描述的”。

3、Viasat应对与恢复措施

截至撰写本文时，Viasat 尚未提供任何技术指标或事件响应报告。他们确实提供了攻击链的总体情况，但结论却难以令人信服。

Viasat与Skylogic合作实施了多项断网缓解和恢复措施，以恢复网络稳定性。Viasat正在利用从这次事件中吸取的教训，进一步增强产品安全性能。由于调查仍在进行中，为了保护Viasat和Skylogic在KA-SAT网络上提供安全服务的能力，目前不会公开上述缓解措施的具体技术细节。在整个调查过程中，Viasat继续向未受影响的用户以及未受此次攻击影响的移动和政府客户提供宽带服务。自攻击发生以来，Viasat一直与其分销商合作，为调制解调器无法使用的所有用户恢复服务。Viasat已经向分销商运送了近30000台替代型调制解调器，以使客户恢复入网。Viasat将继续向有需求的分销商提供即时功能调制解调器，以便他们能够为受影响的最终客户支持快速服务恢复和影响缓解。

四、The AcidRain Wiper

2022 年 3 月 15 日星期二，一个可疑的上传引起了我们的注意。一个 MIPS ELF 二进制文件从意大利上传到 VirusTotal，名为“ukrop”。我们不知道如何准确解析这个名字。可能的解释包括“ukr”aine“op”eration 的简写，乌克兰爱国者协会的首字母缩写，或俄罗斯对乌克兰人的种族诽谤——“ Укроп ”。只有 Viasat 案中的事件响应者才能明确地说这是否确实是此特定事件中使用的恶意软件。我们将其用途作为一个合适的假设，并将描述其功能、奇特的开发特征以及与之前俄罗斯行动的可能重叠，需要进一步研究。

AcidRain 的功能相对简单，需要进行暴力破解，这可能表明攻击者要么不熟悉目标固件的细节，要么希望该工具保持通用性和可重复使用性。二进制文件会对文件系统和各种已知存储设备文件进行深度擦除。如果代码以 root 身份运行，AcidRain 会对文件系统中的非标准文件进行初始递归覆盖和删除。

递归删除非标准文件夹中的文件

随后，它会尝试破坏以下存储设备文件中的数据：

此擦除器会遍历所有可能的设备文件标识符（例如 mtdblock0 – mtdblock99），打开设备文件，并用最多 0x40000 字节的数据覆盖它，或者（对于 /dev/mtd* 设备文件）使用以下 IOCTLS 擦除它：MEMGETINFO、MEMUNLOCK、MEMERASE 和 MEMWRITEOOB。为了确保这些写入已提交，开发人员运行系统fsync调用。

生成用于覆盖存储的恶意数据的代码

当使用覆盖方法而不是 IOCTL 时，它会从初始化为 4 字节整数数组的内存区域复制，该数组0xffffffff从每个索引开始并递减。这与其他人在漏洞利用发生后看到的情况相符。

Surfbeam2 调制解调器攻击前后的并排比较

两种擦除方法的代码如下所示：

擦除设备的机制：写入 0x40000（左）或使用 MEM* IOCTLS（右）

一旦各种擦除过程完成，设备就会重新启动。

重复尝试重启设备

这会导致设备无法运行。

五、有趣的奇事

尽管乌克兰入侵事件给我们带来了教训，但擦除恶意软件相对罕见。针对路由器、调制解调器或物联网设备的擦除恶意软件尤其罕见。最引人注目的案例是 VPNFilter，这是一种模块化恶意软件，针对 SOHO 路由器和 QNAP 存储设备，由Talos发现。随后，FBI 起诉书将该行动归咎于俄罗斯（特别是 APT28）。

最近，美国国家安全局和 CISA 将 VPNFilter 归咎于 Sandworm（另一个威胁行为者，归咎于同一组织俄罗斯 GRU），正如英国国家网络安全中心 (NCSC) 所描述的 VPNFilter 的继任者 Cyclops Blink。（https://www.ncsc.gov.uk/files/Cyclops-Blink-Malware-Analysis-Report.pdf）

VPNFilter 包含一系列令人印象深刻的功能，这些功能以多阶段插件的形式选择性地部署到受感染的设备上。功能范围从凭据窃取到监控 Modbus SCADA 协议。在其众多插件中，它还包括擦除和破坏设备以及对目标进行 DDoS 的功能。

（https://blog.talosintelligence.com/2018/09/vpnfilter-part-3.html）

我们之所以提起 VPNFilter，并不是因为它与 AcidRain 表面上相似，而是因为特定的 VPNFilter 插件和 AcidRain 之间存在有趣（但尚无定论）的代码重叠。

在首次发现 VPNFilter 之后，研究人员发现了更多插件，试图了解僵尸网络的大规模传播及其诸多复杂性。其中包括以前未知的插件，包括“dstr”。正如其名称所暗示的那样，它是一个“破坏”模块，旨在补充缺少“kill”命令（用于擦除设备）的第 2 阶段插件。

我们最初是通过tlsh fuzzy hashing（https://github.com/trendmicro/tlsh）注意到这个插件的，这是一个较新的匹配库，事实证明它在识别相似样本方面比ssdeep或imphash更有效。与 AcidRain 的相似度为 55%，而 VT 语料库中没有其他样本被标记。仅凭这一点还不足以最终判断这两个样本是相似的，但它确实值得进一步调查。

VPNFilter 和 AcidRain 既有明显的相似之处，也有明显的不同之处。它们都是 MIPS ELF 二进制文件，它们共享的大部分代码似乎源自静态链接的libc。它们似乎还共享一个编译器，最明显的证据是相同的 Section Headers Strings Tables。

VPNFilter 和 AcidRain 的节标题字符串表

此外，还存在其他开发怪癖，例如在新的syscall之前将前一个syscall号存储到全局位置。目前，我们无法判断这是一个共享的编译器优化还是一个奇怪的开发人员怪癖。

更值得注意的是，虽然 VPNFilter 和 AcidRain 的工作方式非常不同，但两个二进制文件都使用 MEMGETINFO、MEMUNLOCK 和 MEMERASE IOCTLS 来擦除 mtd 设备文件。

左侧为 AcidRain；右侧为 VPNFilter

VPNFilter 的“dstr”插件和 AcidRain 之间也存在显著差异。后者似乎是一个更加草率的产品，无法始终达到前者的编码标准。例如，请注意重复使用进程分叉和不必要的重复操作。

它们似乎也有不同的用途，VPNFilter 插件针对具有硬编码路径的特定设备，而 AcidRain 则采用“一刀切”的方式来清除设备数据。通过暴力破解设备文件名，攻击者可以更轻松地重复使用 AcidRain 来攻击更多不同的目标。

我们邀请研究界对这种发展重叠进行压力测试并贡献他们自己的研究结果。

Viasat 网络攻击中观察到的 MITRE ATT&CK TTP 总结

下表列出了黑客在 Viasat 攻击期间使用的所有 TTP。

六、结论

当我们考虑俄罗斯入侵乌克兰事件中可能最重要的网络攻击时，仍有许多悬而未决的问题。尽管 Viasat 的声明声称受影响的路由器没有受到供应链攻击或使用恶意代码，但我们提出了更合理的假设，即攻击者将 AcidRain（可能还有其他二进制文件和脚本）部署到这些设备上以进行操作。

虽然我们无法明确地将 AcidRain 与 VPNFilter（或更大的 Sandworm 威胁集群）联系起来，但我们注意到，它们的组件之间存在着非平凡的发展相似性，并且希望研究界能够继续本着合作精神贡献他们的研究成果，这种精神在过去一个月里已经渗透到了威胁情报行业。

2月24日，俄乌冲突爆发前一小时，卫星提供商Viasat的KA-SAT网络遭遇“多方面”攻击，是为俄乌冲突相关的重大网络安全事件之一。乌克兰和西方情报机构都认为攻击是俄罗斯发起的，旨在削弱乌克兰的国家指挥和控制体系。

然而，这次攻击针对的消费级KA-SAT网络是另一家卫星公司（欧洲通信卫星公司的子公司Skylogic）代表Viasat运营的，攻击中断了数千名乌克兰客户和欧洲其他数万名固定宽带客户的宽带服务。本次事件凸显出卫星等天基资产在面对恶意漏洞利用时与其他关键基础设施一样脆弱。

在此背景下，上周，美国国家标准与技术局（NIST）恰到好处地主办了第三届太空网络安全研讨会。峰会开幕式上，美国国家海洋和大气管理局太空商务办公室主任Richard DalBello称：“冲突期间发生的多方面蓄意网络攻击表明，美国政府需要与我们的国际伙伴和私营部门合作，加强当前和未来太空系统的网络韧性。”

美国国土安全部（DHS）情报分析师Holly Shorrock表示：“尽管情报界和政府都很关注这个问题，但普通人的日常生活仍旧很大程度上感受不到其影响，不像恐怖主义、极端天气事件，甚至跨国有组织犯罪等其他国家安全问题的影响那么大。”

1、太空系统面临网络威胁

Shorrock解释称，任何太空系统都由三个部分组成：地面部分、太空部分和链路部分。“这三个部分中的任一部分都容易遭到网络攻击。这或许会令某些人感到惊讶，因为之前的假设是太空系统通常隔绝在网络威胁之外。还有一种假设是商业系统在某种程度上也是隔离的。然而，太空格局发生了重大变化，现在政府和军队依赖商业系统，因此我们对网络威胁状况的理解也出现了极大改变。”

尽管这三个组件都容易遭到网络攻击，但地面和链路部分是最诱人也最容易的攻击途径，正如Viasat攻击所呈现的那样。对太空中的资产发起网络攻击是万不得已的下下选。

2、溢出效应是关键问题

Shorrock告诉与会者，若说在卫星网络攻击上有什么值得注意的，那就是此类攻击可能会产生破坏性溢出效应。“无论哪个部分受到攻击，对冲突地区内太空系统的攻击都可能在该地区之外，远离冲突地区的地方产生溢出效应，影响天基服务在冲突边界以外的企业及其他消费者。”

这些溢出效应可持续到攻击后数周甚至数月，损害服务提供商的声誉，并引发对太空服务可靠性的质疑。此外，“遭到攻击的公司几乎肯定会承担服务恢复、硬件修理和其他攻击缓解方式的财务负担。”

据称，Viasat攻击的溢出效应甚至蔓延到了摩洛哥，其中一些影响持续了一个多月之久。作为例证，Shorrock提到了一家德国能源公司，该公司丧失了对5800台风力涡轮机的远程监控能力。“网络攻击之后一个多月的时间里，193个风力发电场依然断联。这家能源公司称，中断导致风电场数据监控离线，使风能转换器容易受到网络犯罪团伙或其他恶意黑客的进一步攻击。”

3、俄罗斯还对乌克兰发起了单独的欺骗和干扰攻击

Shorrock称，俄乌冲突以来，俄罗斯还采取了其他类型的卫星攻击，例如信号欺骗和干扰。“欺骗全球导航卫星系统（NSS，美国的GPS只是其中一种）既简单又便宜，是犯罪组织和军队偏爱的一种策略。尤其是俄罗斯，在公众眼中，俄罗斯自2017年以来一直与这种策略联系在一起，并在当前与乌克兰的冲突中使用了这种策略，其溢出效应波及冲突地区以外的基础设施和商业活动。”

类似Viasat攻击，俄罗斯的NSS欺骗攻击也造成了破坏性溢出效应。根据欧盟航空安全行业的报告，整个俄乌冲突期间，在冲突地区边界附近，以及远至以色列的其他地区，GPS等信号一直受到干扰和欺骗。

 Shorrock表示，这种干扰和欺骗的溢出效应影响了航空业，导致一些航班停飞长达一周。“一些飞机不得不在飞行途中改变航线，而在至少一起其他案例中，这些溢出效应导致飞机无法安全执行着陆机动。”

俄罗斯的信号干扰同样对乌克兰造成了破坏。“据称，还有一家在乌克兰提供卫星通信的公司也遭到了俄罗斯的信号干扰。该公司负责人公开表示，由于不得不调度资源来应对电子攻击，公司的其他项目可能会被推迟。”Shorrock说道。

    此外，这一发现还发现了AcidRain和“dstr”之间的相似之处，后者是VPNFilter中的第三级雨刮器模块，VPNFilter是一种僵尸网络恶意软件，以前归因于俄罗斯的Sandworm组织。    除了Viasat袭击事件外，澳大利亚和加拿大还指责俄罗斯政府在2022年2月针对乌克兰银行业，在2020年进行COVID-19疫苗研发，并干涉格鲁吉亚2020年议会选举。自今年年初以来，乌克兰一直处于针对公共和私营部门网络的一系列破坏性攻击的接收端，这些攻击是作为俄罗斯“混合”战争战略的一部分与地面战一起发起的。    英国国家网络安全中心（NCSC）指出，俄罗斯军事情报机构“几乎肯定”参与了WhisperGate雨刮器恶意软件的部署以及2022年1月几个乌克兰网站的污损。    AcidRain和WhisperGate是最近几个月袭击乌克兰的一长串数据擦除器菌株的一部分，其中还包括HermeticWiper（FoxBlade又名KillDisk），IssacWiper（Lasainraw），CaddyWiper，DesertBlade，DoubleZero（FiberLake）和Industroyer2。

4、Viasat的经验教训

Viasat政府系统副总裁兼首席技术官Phil Mar表示，NIST去年邀请他在峰会上发言时，“我在想我会像以往参加此类会议时那样，用假设的网络事件来设置话题场景。我总是不愿意就发生在其他人身上的事情发声。但是，正如音乐剧《汉密尔顿》的歌词所言，这一切发生时，我就在那里。所以，我这次会用真实事件。”

Mar表示，2月24日早间，Skylogic的性能开始降级，“我们观察到来自多个客户的调制解调器和相关客户端设备的恶意流量非常大。” Viasat和Skylogic的人员努力清除恶意流量，但随后开始看到调制解调器不断掉线。

最终，攻击期间数千台调制解调器掉线，未能看到它们重新上线。后来的网络分析发现，有地基网络入侵在探索各种配置，用以访问这家卫星提供商的网络管理部分。

攻击通过受信网络擅自切入该公司用以管理和运营网络的特定网络会话，在大量住宅调制解调器上执行有针对性的命令，覆盖闪存中的关键数据，使调制解调器无法访问网络。

Viasat取证团队在大约24小时里成功逆向工程了该攻击并开始恢复网络。“我们在这一案例中学到了很多东西。我们知道了哪些技术有效，哪些技术可使我们能够如此迅速地恢复网络，以及，我们可以在哪些方面做得更好。”

七、参考

【1】 Mott, Nathaniel (2022-03-12). "Report: NSA Investigates Viasat Hack That Coincided With Ukraine Invasion". PCMag. Archived from the original on 2023-04-07. Retrieved 2023-04-07.

【2】 Greig, Jonathan (11 August 2023). "NSA, Viasat say 2022 hack was two incidents; Russian sanctions resulted from investigation". therecord.media. Retrieved 2024-03-06.

【3】 Burgess, Matt (23 March 2022). "A Mysterious Satellite Hack Has Victims Far Beyond Ukraine". Wired. ISSN 1059-1028. Archived from the original on 2024-01-27. Retrieved 2024-07-17.

【4】 Sheahan, Maria; Steitz, Christoph; and Rinke, Andreas (2022-02-28). Murray, Miranda and Baum, Bernadette (eds.). "Satellite outage knocks out thousands of Enercon's wind turbines". Reuters. Archived from the original on 2023-04-08. Retrieved 2023-04-07.

【5】 Goodin, Dan (31 March 2022). "Mystery solved in destructive attack that knocked out >10k Viasat modems". Ars Technica. Archived from the original on 26 March 2023. Retrieved 7 April 2023.

【6】 Guerrero-Saade, Juan Andres (31 March 2022). "AcidRain: A Modem Wiper Rains Down on Europe". SentinelLabs. Archived from the original on 2024-01-15. Retrieved 2023-04-07.

【7】 "Justice Department Announces Actions to Disrupt Advanced Persistent Threat 28 Botnet of Infected Routers and Network Storage Devices". U.S. Department Of Justice. 23 May 2018. Archived from the original on 19 April 2023. Retrieved 7 April 2023.

【8】 "Russian cyber operations against Ukraine: Declaration by the High Representative on behalf of the European Union". Council of the EU. 10 May 2022. Archived from the original on 2024-01-28. Retrieved 2023-04-07.

【9】 "Attribution of Russia's Malicious Cyber Activity Against Ukraine". United States Department of State. Retrieved 2024-09-02.

【10】  "Russia behind cyber-attack with Europe-wide impact an hour before Ukraine invasion". GOV.UK. Retrieved 2024-09-02.

【11】  https://www.sentinelone.com/labs/acidrain-a-modem-wiper-rains-down-on-europe/

【12】  https://www.wired.com/story/viasat-internet-hack-ukraine- Russia

【13】  https://www.cisa.gov/uscert/ncas/alerts/aa22-076a

【14】  https://media.defense.gov /2022/Jan/25/2002927101/-1/-1/0/CSA_PROTECTING_VSAT_COMMUNICATIONS_01252022.PDF

【15】  https://www.airforcemag.com/hackers-attacked-satellite-terminals-through-management-network-viasat-officials-say/

【16】  https://nps.edu/documents/104517539/104522593/RELIEF12-4_QLR.pdf/9cc03d09-9af4-410e-b601-a8bffdae0c30

【17】  https://www.reuters.com/business/media-telecom/exclusive-hackers-who-crippled-viasat-modems-ukraine-are-still-active-company-2022-03-30/

【18】  https://www.reuters.com/business/media-telecom/exclusive-hackers-who-crippled-viasat-modems-ukraine-are-still-active-company-2022-03-30/ 

【19】https://viasat.com/about/newsroom/blog/ka-sat-network-cyber-attack-overview/ 

【20】https://blog.talosintelligence.com/2018/05/VPNFilter.html

【21】https://blog.talosintelligence.com/2018 /06/vpnfilter-update.html?m=1

【22】https://blog.talosintelligence.com/2018/09/vpnfilter-part-3.html

【23】https://www.ncsc.gov.uk/files/Cyclops-Blink-Malware-Analysis-Report.pdf

【24】https://www.trendmicro.com/en_us/research/21/a/vpnfilter-two-years-later-routers-still-compromished-.html

【25】https://www.cisa.gov/uscert/ncas/alerts/ AA22-054a

【26】https://www.spacesecurity.info/an-analysis-of-the-viasat-cyber-attack-with-the-mitre-attck-framework/

原文始发于微信公众号（太空安全）：KA-SAT的卫星调制解调器遭受AcidRain网络攻击技战术（ATT&CK TTP）应用详细分析