Стало известно почему у украинцев разом вышли из строя десятки тысяч спутниковых модемов

Оказывается, за несколько часов до начала Специальной военной операции, 24 февраля 2022 года, Украина подверглась мощнейшей кибернетической атаке при помощи программы-вайпера. Американские спецслужбы уверены, что так сработали российские хакеры. Чтобы исправить ситуацию, компании Viasat пришлось вручную перепрограммировать все взломанные устройства. А это просто адский труд.


Думаю, для людей, далеких от компьютерных дел, следует сделать небольшое пояснение. Согласно общепринятой классификации, все зловредное ПО делится на три группы.

Первая и самая большая — это мошенническое программное обеспечение (crimeware). Служит для воровства связок «логин-пароль», персональных данных, ресурсов и порой даже финансов.

Вторую группу зловредного ПО очень любят показывать в голливудских боевиках. Продвинутые хакеры пользуются крайне специфическими программами в целях кибершпионажа. Обычно это кража секретных данных из транснациональных корпораций и государственного сектора.

Третья группа — это вайперы. Она самая небольшая, но и при этом самая опасная, так как нацелена на уничтожение данных. К слову сказать, вайперы, они же «стиратели» были первыми из компьютерных вирусов. Однако в конце 90-х годов, в эпоху раннего интернета, хакеры редко занимались шпионажем и кражами. Напротив, компьютерные взломщики развлекались, уничтожая ради забавы чужую информацию.

Эксперты из компании Sentinel One заметили, что новый вайпер имеет явное сходство с AcidRain, вредоносным ПО. Именно с помощью него два года назад неизвестные злоумышленники вывели из строя 10 000 спутниковых модемов американской компании Viasat KA-SAT на Украине. Кибератака произошла 24 февраля 2022 года всего за несколько часов до начала Специальной военной операции.

Нападение почти на неделю заблокировало большую часть коммуникационных возможностей украинского командования. Однако внимание на проблему обратили далеко не сразу, а только через несколько дней. Дело в том, что в Германии разом встали 5800 ветряных мельниц Enercon, удаленное управление и мониторинг которыми осуществлялось при помощи маршрутизаторов Viasat KA-SAT.

Вредоносное ПО удалось отловить лишь через несколько недель. 15 марта 2022 года кто-то из Италии загрузил на VirusTotal (крупнейший сайт, который бесплатно проверяет подозрительные файлы и ссылки на вирусы, трояны, червей и прочее) двоичный файл под названием «ukrop». В итоге в мае 2022 года Евросоюз, Великобритания и США предъявили России официальное обвинение в организации кибератак на Украине.

И вот в марте 2024 года появилась новая версия AcidRain, которую назвали AcidPour. Новый вариант вайпера похож на предшественника, но способен распространиться на куда более широкий круг устройств, работающих на базе Linux x86. Прежде всего, это сетевые устройства типа роутеров и маршрутизаторов, «умные вещи» (IOT) и смартфоны. Также AcidPour способен поражать сетевые хранилища (NAS) и выделенные RAID-массивы.


— Том Хегель, старший исследователь угроз SentinelOne (компания, занимающаяся кибербезапасностью).

По словам экспертов Министерства Юстиции США, в новом зловредном ПО задействованы характерные механизмы, которые ранее были фишки Sandworm. Так называется крупная русскоязычная хакерская группировка, про которую говорят, что, на самом деле, она является одним из подразделений ГРУ (российской военной разведки). Но как вы понимаете, это только гипотезы, которые никак не доказаны.

Впервые AcidPour был обнаружен 16 марта 2024 года, а за три дня практически одновременно легли сразу три крупные украинские телекоммуникационные сети. Сотрудники Sentinel One Хуан Андрес Герреро-Сааде и уже упоминавшийся Том Хегель высказали предположение, что для взлома украинских сетей использовался AcidPour.

Немногим позже в Телеграм появилось сообщение российской группы хакеров «Солнцепек». Они взяли на себя всю ответственность за взлом украинского консорциума Triangulum, предоставляющего телефонные и интернет-услуги под брендом Triacom и Misto TV. Специалисты компаний Kentik (сетевая разведка) и CloudFlare (крупнейший интернет-концерн, проксирующий треть мирового интернета) сказали, что украинские сети не смогли восстановиться даже после недельного простоя.

По словам экспертов, новый AcidPour действует сильнее и сложнее, чем простая DDoS-атака или внезапный сбой. Хакеры, написавшие вредоносное ПО, значительно прогрессировали за два года, причем не только как программисты. Они значительно эволюционировали в стратегическом плане, гораздо более продуманно выбирают цели, чтобы нанести максимальный урон по критически важным структурам и коммуникациям.