AcidPour Wiper
Заплашителен софтуер, известен като AcidPour, потенциално е бил използван при атаки, насочени срещу четири телекомуникационни доставчика в Украйна. Експертите по киберсигурност са установили връзки между този злонамерен софтуер и AcidRain , свързвайки го със заплахи, свързани с руското военно разузнаване. AcidPour може да се похвали с подобрени функционалности, което го прави способен да деактивира различни вградени устройства като мрежово оборудване, устройства за интернет на нещата (IoT), големи системи за съхранение (RAID) и потенциално индустриални системи за контрол (ICS), работещи на Linux x86 дистрибуции.
Трябва да се отбележи, че AcidPour е производно на AcidRain, чистачка, първоначално използвана за саботиране на модемите Viasat KA-SAT по време на ранните етапи на руско-украинския конфликт през 2022 г., прекъсвайки военните комуникационни мрежи на Украйна.
AcidPour е оборудван с разширен набор от натрапчиви възможности
Злонамереният софтуер AcidPour разширява възможностите на своя предшественик, като специално се насочва към Linux системи, работещи на x86 архитектура. За разлика от тях, AcidRain е пригоден за MIPS архитектура. Докато AcidRain беше по-генеричен по природа, AcidPour включва специализирана логика за насочване към вградени устройства, мрежи за съхранение (SAN), устройства за мрежово съхранение (NAS) и специални RAID масиви.
Въпреки това и двата варианта споделят общи черти в използването на повиквания за рестартиране и рекурсивни методи за изтриване на директория. Те също така използват механизъм за изтриване на устройства, базиран на IOCTL, който прилича на друг зловреден софтуер, свързан с Sandworm , известен като VPNFilter .
Един интригуващ аспект на AcidPour е неговият стил на кодиране, напомнящ на практичния зловреден софтуер CaddyWiper , който е широко използван срещу украински цели заедно със забележителни заплахи като Industroyer2 . Този базиран на C злонамерен софтуер включва функция за самоизтриване, която се презаписва върху диска в началото на изпълнението, като същевременно прилага алтернативни подходи за изтриване в зависимост от типа на устройството.
AcidPour е свързан с руска хакерска група
Смята се, че AcidPour е внедрен от хакерска група, идентифицирана като UAC-0165, която е свързана с Sandworm и има история на насочване към критична инфраструктура в Украйна.
През октомври 2023 г. Екипът за компютърно реагиране при извънредни ситуации на Украйна (CERT-UA) замеси този противник в атаки срещу най-малко 11 доставчици на телекомуникационни услуги в страната между май и септември на предходната година. AcidPour може да е бил използван по време на тези атаки, което предполага последователно използване на инструменти, свързани с AcidRain/AcidPour по време на конфликта.
Допълнително укрепвайки връзката с Sandworm, заплаха, известна като Solntsepyok (наричана още Solntsepek или SolntsepekZ), пое отговорност за проникването в четири украински телекомуникационни оператора и прекъсването на техните услуги на 13 март 2024 г., само три дни преди откриването на AcidPour.
Според Държавната служба за специални комуникации на Украйна (SSSCIP), Solntsepyok е руска Advanced Persistent Threat (APT) с вероятни връзки с Главното управление на Генералния щаб на въоръжените сили на Руската федерация (GRU), което контролира Sandworm.
Струва си да се отбележи, че Solntsepyok също беше обвинен в нарушаване на системите на Kyivstar още през май 2023 г., като нарушението излезе наяве в края на декември същата година.
Въпреки че остава несигурно дали AcidPour е бил използван в най-новата вълна от атаки, откритието му предполага, че участниците в заплахата непрекъснато усъвършенстват своите тактики за извършване на разрушителни атаки и причиняване на значителни оперативни смущения.
Тази еволюция не само подчертава подобрение в техническите възможности на тези участници в заплахата, но също така подчертава техния стратегически подход при избора на цели за усилване на пулсационните ефекти, като по този начин нарушава критичната инфраструктура и комуникациите.
