s1125-acidrain - RunkIntel

# AcidRain > [!danger] Wiper de Infraestrutura - Ataque ao Viasat KA-SAT > O AcidRain foi implantado em **24 de fevereiro de 2022**, mesmas horas em que as forcas russas iniciavam a invasao em larga escala da Ucrania. O ataque ao sateli KA-SAT da Viasat inutilizou dezenas de milhares de modems na Ucrania e em paises europeus. O spillover afetou **5.800 turbinas eolicas na Alemanha** que dependiam de conectividade satelital para monitoramento remoto. Considerado o **7o wiper** da guerra russo-ucraniana e o de maior impacto geopolitico transfronteirico. ## Visão Geral [[s1125-acidrain|AcidRain]] e um wiper compilado como binario ELF para arquitetura MIPS, projetado específicamente para apagar dados em modems e roteadores de rede. Foi descoberto e nomeado por pesquisadores da SentinelOne (Juan Andres Guerrero-Saade e Max van Amerongen) em marco de 2022, quando foi encontrado no VirusTotal com o nome interno "ukrop". A Viasat confirmou que a análise do SentinelOne era consistente com seus relatorios internos. Agencias governamentais dos EUA (CISA, NSA, FBI), Reino Unido e Uniao Europeia atribuiram o AcidRain ao [[g0034-sandworm|Sandworm Team]] (GRU Unidade 74455) com alta confiança. | Campo | Detalhe | |-------|---------| | **Tipo** | Wiper para dispositivos de rede (MIPS ELF) | | **Arquitetura** | ELF 32-bit MSB, MIPS, estáticamente linkado | | **SHA256** | `9b4dfaca873961174ba935fddaf696145afe7bbf5734509f95feb54f3584fd9a` | | **Alvo** | Modems Viasat SurfBeam2 e SurfBeam2+ | | **Data do ataque** | 24 de fevereiro de 2022 | | **Impacto** | ~50.000 terminais inutilizados na Ucrania/Europa | | **Variante posterior** | [[s1167-acidpour\|AcidPour]] (arquitetura x86, alvos expandidos) | ## Como Funciona O AcidRain e técnicamente simples mas devastadoramente eficaz para seu proposito específico. Operando em dispositivos MIPS Linux: 1. **Reconhecimento de dispositivos:** Itera sobre identificadores de arquivo de dispositivo no sistema operacional Linux (ex: `/dev/sdX`, `/dev/mtdX`, arquivos de flash) 2. **Sobrescrita destrutiva:** Para cada dispositivo encontrado, abre o arquivo de dispositivo e sobrescreve com dados aleatorios OU executa chamadas IOCTL específicas para apagar o conteudo 3. **Destruicao do filesystem:** Se executado como root, realiza sobrescrita recursiva de arquivos nao-padrao no filesystem 4. **Reinicializacao forcada:** Após completar a destruicao, forca reinicializacao do sistema - tornado o dispositivo inoperavel e inacessivel a rede O vetor de entrega: o [[g0034-sandworm|Sandworm Team]] explorou uma **configuração incorreta de appliance VPN** para acessar o segmento de gerenciamento trusted da rede KA-SAT, depois moveu-se lateralmente para o segmento de gerenciamento de modems e usou comandos de gerenciamento legitimos para implantar o wiper em massa nos terminais. **Sobreposicao com VPNFilter:** A SentinelOne identificou sobreposicao nao-trivial no código entre o AcidRain e o plugin de destruicao "dstr" do VPNFilter Stage 3, malware atribuido ao Sandworm. Esta similaridade corrobora a atribuicao. ## Attack Flow ```mermaid graph TB A["Acesso Inicial Exploração VPN mal configurada T1190 - Rede KA-SAT Skylogic"] --> B["Movimento Lateral Segmento de gerenciamento trusted Infraestrutura de modems"] B --> C["Selecao de alvos 82 celulas geograficas KA-SAT Foco em terminais ucranianos"] C --> D["Implantação AcidRain Wiper via canal de gerenciamento ELF MIPS ukrop binary"] D --> E["Execução destrutiva Sobrescrita de flash memory T1485 + T1561.001"] E --> F["Reinicializacao T1529 Dispositivos inacessiveis 50.000 terminais offline"] F --> G["Impacto geopolitico Comúnicacoes militares Ucrania Turbinas eolicas Alemanha offline"] classDef initial fill:#e74c3c,stroke:#c0392b,color:#fff classDef lateral fill:#e67e22,stroke:#d35400,color:#fff classDef deploy fill:#8e44ad,stroke:#7d3c98,color:#fff classDef impact fill:#2c3e50,stroke:#1a252f,color:#fff class A initial class B,C lateral class D,E deploy class F,G impact ``` ## Timeline ```mermaid timeline title AcidRain - Ataque Viasat KA-SAT 2022 2022-02 : Ataque comeca (antes de 24 fev) : Exploração VPN Skylogic / Eutelsat 2022-02-24 : Invasao russa da Ucrania inicia : AcidRain implantado em terminais : 50.000 modems inutilizados na Ucrania : 5.800 turbinas eolicas na Alemanha offline 2022-03-15 : Binary ukrop aparece no VirusTotal : SentinelOne inicia análise 2022-03-31 : SentinelOne publica pesquisa AcidRain : Viasat confirma uso do wiper 2022-05 : EUA / UK / EU atribuem ao Sandworm / GRU : Sanctions e alertas de infraestrutura critica 2024 : AcidPour descoberto - variante x86 : Alvos expandidos incluindo NAS e RAID ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|---------------| | Acesso Inicial | [[t1190-exploit-public-facing-application\|T1190]] | VPN mal configurada da Skylogic/Eutelsat | | Impacto | [[t1485-data-destruction\|T1485]] | Sobrescrita de flash memory dos modems | | Impacto | [[t1561-001-disk-content-wipe\|T1561.001]] | Iteracao e sobrescrita de arquivos de dispositivo | | Impacto | [[t1495-firmware-corruption\|T1495]] | Corrupcao do firmware MIPS dos terminais | | Impacto | [[t1529-system-shutdownreboot\|T1529]] | Forcado após conclusao da destruicao | | Descoberta | [[t1083-file-and-directory-discovery\|T1083]] | Identificação de dispositivos de armazenamento Linux | ## Relevância LATAM/Brasil O AcidRain foi desenvolvido específicamente para o contexto russo-ucraniano, sem registros de uso contra alvos latino-americanos. Porém, o modelo de ataque tem relevância estratégica direta para o Brasil: - O Brasil depende de provedores de satelite ([[starlink|Starlink]], Hughes, Viasat) para conectividade em regioes remotas como a Amazonia e para comúnicacoes militares e de emergência - Operadores de infraestrutura critica de telecomúnicacoes brasileiros devem considerar o AcidRain como **referência de ameaça** para programas de segurança de dispositivos de rede - A Agencia Nacional de Telecomúnicacoes (Anatel) deve considerar requisitos de segurança de firmware para equipamentos satelitais O ataque demonstrou como infraestrutura civil de telecomúnicacoes e **alvo legitimo em conflitos** - lição relevante para o planejamento de defesa cibernetica nacional. ## Detecção e Defesa **Monitoramento de integridade de firmware:** - Implementar verificação de hash de firmware em modems e roteadores MIPS periodicamente - Comparar contra baseline confiavel para detectar substituicao ou corrupcao **Monitoramento de acesso ao canal de gerenciamento:** - Auditar acesso ao segmento de gerenciamento de dispositivos de rede - Alertar sobre autenticacoes fora de jánelas de manutenção **Segmentacao de rede:** - O ataque Viasat foi possibilitado por acesso irrestrito ao segmento de gerenciamento após comprometimento da VPN - Implementar micro-segmentacao e autenticação multifator para acesso ao plano de gerenciamento **YARA:** Nao existe regra YARA pública específica para AcidRain (Malpedia, 2024). ## Referências - [1](https://www.sentinelone.com/labs/acidrain-a-modem-wiper-rains-down-on-europe/) SentinelOne Labs - AcidRain: A Modem Wiper Rains Down on Europe (2022) - [2](https://attack.mitre.org/software/S1125/) MITRE ATT&CK - S1125 AcidRain - [3](https://www.spacesecurity.info/an-analysis-of-the-viasat-cyber-attack-with-the-mitre-attck-framework/) Space Security Info - Viasat Cyber Attack MITRE ATT&CK Analysis (2025) - [4](https://thehackernews.com/2022/04/russian-wiper-malware-responsible-for.html) The Hacker News - Russian Wiper Responsible for Viasat KA-SAT Attack (2022) - [5](https://eurepoc.eu/publication/major-cyber-incident-ka-sat-9a/) EuRepoC - Major Cyber Incident: KA-SAT 9A (2023)