AcidPour Wiper

من المحتمل أن يكون برنامج التهديد المعروف باسم AcidPour قد تم استخدامه في هجمات استهدفت أربعة من مقدمي خدمات الاتصالات في أوكرانيا. وقد حدد خبراء الأمن السيبراني الروابط بين هذه البرمجيات الخبيثة وبرنامج AcidRain ، وربطها بعمليات التهديد المرتبطة بالمخابرات العسكرية الروسية. يتميز AcidPour بوظائف محسنة، مما يجعله بارعًا في تعطيل العديد من الأجهزة المدمجة مثل معدات الشبكات، وأجهزة إنترنت الأشياء (IoT)، وأنظمة التخزين الكبيرة (RAIDs)، وأنظمة التحكم الصناعية المحتملة (ICS) التي تعمل على توزيعات Linux x86.

والجدير بالذكر أن AcidPour هو مشتق من AcidRain، وهو ممسحة تم استخدامها في البداية لتخريب أجهزة مودم Viasat KA-SAT خلال المراحل الأولى من الصراع الروسي الأوكراني في عام 2022، مما أدى إلى تعطيل شبكات الاتصالات العسكرية في أوكرانيا.

تم تجهيز AcidPour بمجموعة موسعة من القدرات التدخلية

توسع البرمجيات الخبيثة AcidPour قدرات سابقتها من خلال استهداف أنظمة Linux التي تعمل على بنية x86 على وجه التحديد. في المقابل، تم تصميم AcidRain خصيصًا لهندسة MIPS. في حين أن AcidRain كان أكثر عمومية بطبيعته، فإن AcidPour يتضمن منطقًا متخصصًا لاستهداف الأجهزة المدمجة وشبكات منطقة التخزين (SANs) وأجهزة التخزين المتصلة بالشبكة (NAS) ومصفوفات RAID المخصصة.

ومع ذلك، يشترك كلا الخيارين في القواسم المشتركة في استخدامهما لاستدعاءات إعادة التشغيل وطرق مسح الدليل العودية. كما أنها تستخدم آلية مسح الجهاز استنادًا إلى IOCTLs، والتي تشبه برنامجًا ضارًا آخر مرتبطًا بـ Sandworm المعروف باسم VPNFilter .

أحد الجوانب المثيرة للاهتمام في برنامج AcidPour هو أسلوب الترميز الخاص به، والذي يذكرنا بالبرنامج الضار CaddyWiper العملي، والذي تم استخدامه على نطاق واسع ضد الأهداف الأوكرانية إلى جانب التهديدات البارزة مثل Industroyer2 . تتضمن هذه البرامج الضارة المستندة إلى لغة C وظيفة الحذف الذاتي التي تقوم بالكتابة فوق القرص في بداية التنفيذ مع تنفيذ أيضًا أساليب مسح بديلة اعتمادًا على نوع الجهاز.

تم ربط AcidPour بمجموعة قرصنة متحالفة مع روسيا

ويُعتقد أنه تم نشر AcidPour من قبل مجموعة قرصنة تُعرف باسم UAC-0165، وهي تابعة لشركة Sandworm ولها تاريخ في استهداف البنية التحتية الحيوية في أوكرانيا.

في أكتوبر 2023، أشار فريق الاستجابة لطوارئ الكمبيوتر في أوكرانيا (CERT-UA) إلى تورط هذا الخصم في هجمات ضد ما لا يقل عن 11 من مقدمي خدمات الاتصالات في البلاد بين مايو وسبتمبر من العام السابق. ربما تم استخدام AcidPour خلال هذه الهجمات، مما يشير إلى الاستخدام المستمر للأدوات المرتبطة بـ AcidRain/AcidPour طوال فترة النزاع.

لتعزيز الاتصال بـ Sandworm، أعلن ممثل التهديد المعروف باسم Solntsepyok (يُشار إليه أيضًا باسم Solntsepek أو SolntsepekZ) مسؤوليته عن اختراق أربعة مشغلي اتصالات أوكرانيين وتعطيل خدماتهم في 13 مارس 2024، قبل ثلاثة أيام فقط من اكتشاف AcidPour.

وفقًا لخدمة الاتصالات الخاصة الحكومية في أوكرانيا (SSSCIP)، فإن Solntsepyok يمثل تهديدًا روسيًا متقدمًا مستمرًا (APT) وله علاقات محتملة مع المديرية الرئيسية لهيئة الأركان العامة للقوات المسلحة للاتحاد الروسي (GRU)، التي تشرف على Sandworm.

تجدر الإشارة إلى أن Solntsepyok متهم أيضًا باختراق أنظمة Kyivstar في وقت مبكر من مايو 2023، مع ظهور الانتهاك في أواخر ديسمبر من ذلك العام.

وفي حين أنه لا يزال من غير المؤكد ما إذا كان قد تم استخدام AcidPour في الموجة الأخيرة من الهجمات، فإن اكتشافه يشير إلى أن الجهات الفاعلة في مجال التهديد تعمل باستمرار على تحسين تكتيكاتها لتنفيذ هجمات مدمرة والتسبب في اضطرابات تشغيلية كبيرة.

ولا يسلط هذا التطور الضوء على تعزيز القدرات التقنية للجهات التهديدية هذه فحسب، بل يؤكد أيضًا على نهجها الاستراتيجي في اختيار الأهداف لتضخيم التأثيرات المتتالية، وبالتالي تعطيل البنية التحتية والاتصالات الحيوية.

<p/ style=";text-align:right;direction:rtl">