AcidPour Wiper
Hrozivý software známý jako AcidPour byl potenciálně využit při útocích zaměřených na čtyři telekomunikační poskytovatele na Ukrajině. Odborníci na kybernetickou bezpečnost identifikovali vazby mezi tímto malwarem a AcidRain a spojili jej s operacemi s hrozbami spojenými s ruskou vojenskou rozvědkou. AcidPour se může pochlubit vylepšenými funkcemi, díky nimž je schopný zneschopnit různá vestavěná zařízení, jako jsou síťová zařízení, zařízení pro internet věcí (IoT), velké úložné systémy (RAID) a potenciálně průmyslové řídicí systémy (ICS) běžící na distribucích Linuxu x86.
AcidPour je derivátem AcidRain, stěrače původně používaného k sabotáži modemů Viasat KA-SAT během raných fází rusko-ukrajinského konfliktu v roce 2022, což narušilo ukrajinské vojenské komunikační sítě.
AcidPour je vybaven rozšířenou sadou rušivých schopností
Malware AcidPour rozšiřuje možnosti svého předchůdce tím, že se konkrétně zaměřuje na systémy Linux pracující na architektuře x86. Naproti tomu AcidRain je přizpůsoben architektuře MIPS. Zatímco AcidRain byl svou povahou obecnější, AcidPour zahrnuje specializovanou logiku pro cílení na vestavěná zařízení, sítě SAN (Storage Area Network), zařízení NAS (Network Attached Storage) a vyhrazená pole RAID.
Obě varianty však sdílejí společné rysy ve využívání rebootovacích volání a metod rekurzivního mazání adresářů. Používají také mechanismus mazání zařízení založený na IOCTL, který se podobá jinému malwaru spojenému s Sandworm známým jako VPNFilter .
Jedním ze zajímavých aspektů AcidPour je jeho styl kódování, který připomíná praktický malware CaddyWiper , který byl široce používán proti ukrajinským cílům spolu s významnými hrozbami, jako je Industroyer2 . Tento malware založený na C obsahuje funkci automatického mazání, která se na začátku provádění přepíše na disk a zároveň implementuje alternativní přístupy k vymazání v závislosti na typu zařízení.
AcidPour byl spojen s ruskou hackerskou skupinou
Předpokládá se, že AcidPour byl nasazen hackerskou skupinou označenou jako UAC-0165, která je přidružena k Sandworm a má za sebou historii zaměřování se na kritickou infrastrukturu na Ukrajině.
V říjnu 2023 zapletl ukrajinský tým Computer Emergency Response Team (CERT-UA) tohoto protivníka do útoků proti nejméně 11 poskytovatelům telekomunikačních služeb v zemi mezi květnem a zářím předchozího roku. Během těchto útoků mohl být použit AcidPour, což naznačuje konzistentní používání nástrojů souvisejících s AcidRain/AcidPour během celého konfliktu.
Další posílení spojení s Sandworm, aktér hrozeb známý jako Solntsepyok (také označovaný jako Solntsepek nebo SolntsepekZ) se přihlásil k odpovědnosti za infiltraci čtyř ukrajinských telekomunikačních operátorů a narušení jejich služeb 13. března 2024, pouhé tři dny před objevením AcidPour.
Podle Státní speciální komunikační služby Ukrajiny (SSSCIP) je Solntsepyok ruskou pokročilou perzistentní hrozbou (APT) s pravděpodobnými vazbami na Hlavní ředitelství Generálního štábu Ozbrojených sil Ruské federace (GRU), které Sandworm dohlíží.
Stojí za zmínku, že Solntsepyok byl také obviněn z porušení systémů Kyivstar již v květnu 2023, přičemž porušení vyšlo najevo koncem prosince téhož roku.
I když zůstává nejisté, zda byl AcidPour využit v poslední vlně útoků, jeho objev naznačuje, že aktéři hrozeb neustále zdokonalují svou taktiku, aby provedli destruktivní útoky a způsobili významná provozní narušení.
Tento vývoj nejen zdůrazňuje zlepšení technických schopností těchto aktérů hrozeb, ale také podtrhuje jejich strategický přístup při výběru cílů pro zesílení dominových efektů, a tím narušení kritické infrastruktury a komunikace.
