AcidPour Wiper

Un programari amenaçador conegut com AcidPour s'ha utilitzat potencialment en atacs dirigits a quatre proveïdors de telecomunicacions a Ucraïna. Els experts en ciberseguretat han identificat llaços entre aquest programari maliciós i AcidRain , relacionant-lo amb operacions d'amenaça associades a la intel·ligència militar russa. AcidPour compta amb funcionalitats millorades, que el fan capaç d'inhabilitar diversos dispositius incrustats, com ara equips de xarxa, dispositius d'Internet de les coses (IoT), grans sistemes d'emmagatzematge (RAID) i, potencialment, sistemes de control industrial (ICS) que s'executen en distribucions Linux x86.

En particular, AcidPour és un derivat d'AcidRain, un eixugaparabrises emprat inicialment per sabotejar els mòdems Viasat KA-SAT durant les primeres etapes del conflicte rus-ucraïnès el 2022, interrompent les xarxes de comunicació militar d'Ucraïna.

AcidPour està equipat amb un conjunt ampliat de capacitats intrusives

El programari maliciós AcidPour amplia les capacitats del seu predecessor orientant-se específicament als sistemes Linux que operen amb arquitectura x86. En canvi, AcidRain està dissenyat per a l'arquitectura MIPS. Tot i que AcidRain era de naturalesa més genèrica, AcidPour incorpora una lògica especialitzada per orientar dispositius incrustats, xarxes d'àrea d'emmagatzematge (SAN), aparells d'emmagatzematge connectat a la xarxa (NAS) i matrius RAID dedicades.

No obstant això, ambdues variants comparteixen aspectes comuns en la utilització de trucades de reinici i mètodes recursius d'esborrat de directoris. També utilitzen un mecanisme d'esborrat de dispositius basat en IOCTL, que s'assembla a un altre programari maliciós associat a Sandworm conegut com VPNFilter .

Un aspecte intrigant d'AcidPour és el seu estil de codificació, que recorda al pràctic programari maliciós CaddyWiper , que s'ha utilitzat àmpliament contra objectius ucraïnesos juntament amb amenaces notables com Industroyer2 . Aquest programari maliciós basat en C inclou una funció d'autosupressió que es sobreescriu al disc a l'inici de l'execució, alhora que implementa enfocaments d'esborrat alternatius en funció del tipus de dispositiu.

AcidPour ha estat vinculat a un grup de pirateria alineat amb Rússia

Es creu que AcidPour ha estat desplegat per un grup de pirates identificats com a UAC-0165, que està afiliat a Sandworm i té un historial d'orientació a infraestructures crítiques a Ucraïna.

L'octubre de 2023, l'equip de resposta a emergències informàtiques d'Ucraïna (CERT-UA) va implicar aquest adversari en atacs contra almenys 11 proveïdors de serveis de telecomunicacions al país entre maig i setembre de l'any anterior. AcidPour podria haver estat emprat durant aquests atacs, cosa que suggereix un ús constant d'eines relacionades amb AcidRain/AcidPour durant tot el conflicte.

Reforçant encara més la connexió amb Sandworm, un actor d'amenaces conegut com a Solntsepyok (també conegut com a Solntsepyk o SolntsepekZ) va reivindicar la responsabilitat d'infiltrar-se en quatre operadors de telecomunicacions ucraïnesos i interrompre els seus serveis el 13 de març de 2024, només tres dies abans del descobriment d'AcidPour.

Segons el Servei Estatal de Comunicacions Especials d'Ucraïna (SSSCIP), Solntsepyok és una amenaça persistent avançada russa (APT) amb probables vincles amb la Direcció Principal de l'Estat Major de les Forces Armades de la Federació Russa (GRU), que supervisa Sandworm.

Val la pena assenyalar que Solntsepyok també va ser acusat d'infringir els sistemes de Kyivstar des del maig de 2023, i l'incompliment va sortir a la llum a finals de desembre d'aquell any.

Tot i que encara no se sap si AcidPour es va utilitzar en l'onada d'atacs més recent, el seu descobriment suggereix que els actors de l'amenaça estan perfeccionant contínuament les seves tàctiques per executar assalts destructius i causar interrupcions operatives importants.

Aquesta evolució no només destaca una millora en les capacitats tècniques d'aquests actors d'amenaça, sinó que també subratlla el seu enfocament estratègic a l'hora de seleccionar objectius per amplificar els efectes domèstics, interrompent així la infraestructura i les comunicacions crítiques.