早些時候，美國衛星通信服務提供商Viasat 遭受了一輪網絡攻擊，結果導致中東歐地區的服務出現了中斷。而由SentinelLabs 研究人員Juan Andres Guerrero-Saade 和Max van Amerongen 最新發布的安全研究報告可知，這口鍋應該扣在一款名為“酸雨”（AcidRain）的新型擦除（wiper）惡意軟件頭上。

Surfbeam2 調製解調器攻擊前後的並排比較（via SentinelLabs）

鑑於此事與俄烏衝突爆發的時間點接近，早期調查認為俄羅斯方面有很大的嫌疑。此外這輪攻擊還斷開了德國約5800 颱風力發電機的遠程訪問，起初還以為它們遭到了分佈式拒絕服務（DDoS）攻擊。

不過參考SentinelLabs 最新發布的安全研究報告，作為一款新冒出的擦除惡意軟件，AcidRain 旨在遠程清除易受攻擊的調製解調器和路由器。

設備擦除代碼：寫入ox40000（左）或使用MEM*IOCTLS（右）

可知3 月15 日那天，研究人員從意大利用戶ukrop 上傳到VirusTotal 的樣本中發現了端倪，並推測該用戶名為“烏克蘭行動”（Ukraine operation）的縮寫。

至於這款擦除器的功能，研究人員稱其相當“通用”。因為在嘗試破壞數據之前，它會對文件系統和各種已知存儲設備上的文件進行深度抹除，然後讓設備重啟變磚。

嘗試重啟設備的代碼

SentinelLabs 研究人員Juan Andres Guerrero-Saade 和Max van Amerongen 表示：

AcidRain 的功能相對簡單，並且會進行暴力嘗試。意味著攻擊者要么不熟悉目標固件的細節，要么希望該工具保持通用性和可重複使用。

部分標題字符串對比

儘管攻擊者的確切身份仍是個謎，但SentinelLabs 觀察到了AcidRain 和VPNFilter 惡意軟件之間的相似之處—— 後者感染了全球數千個家庭和小型企業的路由器等網絡設備。

2018 年，FBI 將VPNFilter 操作歸咎於有俄羅斯背景的“Fancy Bear”（又名APT28）黑客組織。

左為AcidRain，右為VPNFilter 。

最後，研究人員推測AcidRain 是自俄烏衝突爆發以來的第七款擦除類惡意軟件，但仍需進一步調查背後的關係。由周三發表的有關2 月份網絡攻擊的第一份事件響應報告可知：

未具名的攻擊者利用了錯誤配置的虛擬專用網設備，遠程訪問了KA-SAT 網絡的’可信訪問’部分。

接著利用相關訪問權限，執行了同時面向大量家庭調製解調器的有針對性的管理命令。

這些破壞性命令覆蓋了調製解調器閃存中的關鍵數據，導致Modem 無法訪問網絡、但也並非永久無法使用。