SentinelLabs heeft nieuwe malware ontdekt die het ‘AcidRain’ heeft genoemd. De malware is ontworpen om modems en routers te wissen en vertoont gelijkenissen met VPNFilter malware, dat volgens Amerikaanse overheidsdiensten banden heeft met Russische staatshackers. AcidRain is de 7e wiper-malware die wordt geassocieerd met de Russische invasie van Oekraïne.

De malware kwam aan het licht door een gemelde storing van 5.800 Enercon-windturbines in Duitsland. De windturbines waren niet onbruikbaar, maar monitoring en controle van de windturbines op afstand was niet mogelijk vanwege problemen met de satellietcommunicatie.

De timing van de storing viel samen met de Russische invasie van Oekraïne op 24 februari jl. en er ontstonden vermoedens dat de Duitse kritieke infrastructuur werd aangetast door een poging om de Oekraïense militaire commando- en controle capaciteiten uit te schakelen door de satellietverbinding te belemmeren. Er werden na de storing geen technische details vrijgegeven.

Op woensdag 30 maart 2022 bracht satellietnetwerk Viasat een verklaring naar buiten waarin staat dat de aanval mogelijk was door een slecht geconfigureerde VPN. Hierdoor waren de modems tijdelijk offline en konden hackers het netwerk binnendringen en commando’s sturen naar andere modems. Ondanks dat Viasat beweert dat er geen supply chain-aanval of gebruik van kwaadaardige code op de getroffen routers heeft plaatsgevonden, suggereert SentinelLabs dat de aanvallers de AcidRain-malware (en misschien andere bestanden en scripts) op deze apparaten hebben ingezet om hun operatie uit te voeren.