Nel report di SentinelOne si leggono dei riferimenti al comunicato emanato da Viasat, però viene anche evidenziato che l’azienda non ha dato tutte le info del caso. Pare infatti che non abbia specificato come la sovrascrittura dei dati nella memoria flash dei modem sia stata effettuata. Il 15 marzo è stato caricato su VirusTotal un file binario MIPS ELF chiamato “ukrop” e gli esperti hanno scoperto per l’appunto che si tratta del wiper AcidRain. Il codice del malware fa sì che le funzioni del filesystem vengano cancellate, andando a sovrascrivere dati ed effettuando un riavvio del modem.
Ciò che stupisce è che AcidRain presenta anche delle similituidini con un altro wiper molto conosciuto, ossia VPNFilter, il quale è stato creato da hacker del gruppo FancyBear o Sandworm, i quali sono entrambi collegati a intelligence militare russe. AcidRain si unisce agli altri sei wiper creati per attaccare l’Ucraina. Gli altri sono WhisperKill, WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper e DoubleZero. Le indagini sono ancora in corso, ma pare abbastanza sicuro che il wiper utilizzato sia AcidRain e che tutto sia causa dell’intelligence russa.