AcidPour Wiper
En truende software kendt som AcidPour er potentielt blevet brugt i angreb rettet mod fire telekommunikationsudbydere i Ukraine. Cybersikkerhedseksperter har identificeret bånd mellem denne malware og AcidRain , der forbinder den med trusselsoperationer forbundet med russisk militær efterretningstjeneste. AcidPour kan prale af forbedrede funktionaliteter, hvilket gør den dygtig til at udelukke forskellige indlejrede enheder såsom netværksudstyr, Internet of Things (IoT) enheder, store lagersystemer (RAID'er) og potentielt industrielle kontrolsystemer (ICS), der kører på Linux x86-distributioner.
Især er AcidPour et derivat af AcidRain, en visker, der oprindeligt blev brugt til at sabotere Viasat KA-SAT-modemmer i de tidlige stadier af den russisk-ukrainske konflikt i 2022, hvilket forstyrrede Ukraines militære kommunikationsnetværk.
AcidPour er udstyret med et udvidet sæt af påtrængende egenskaber
AcidPour-malwaren udvider sin forgængers muligheder ved specifikt at målrette mod Linux-systemer, der opererer på x86-arkitektur. I modsætning hertil er AcidRain skræddersyet til MIPS-arkitektur. Mens AcidRain var mere generisk af natur, inkorporerer AcidPour specialiseret logik til at målrette indlejrede enheder, Storage Area Networks (SAN'er), Network Attached Storage (NAS)-apparater og dedikerede RAID-arrays.
Ikke desto mindre deler begge varianter fællestræk i deres brug af genstartopkald og rekursive bibliotekssletningsmetoder. De anvender også en enhedssletningsmekanisme baseret på IOCTL'er, som minder om en anden malware forbundet med Sandworm kendt som VPNFilter .
Et spændende aspekt af AcidPour er dens kodningsstil, der minder om den praktiske CaddyWiper- malware, som er blevet brugt i vid udstrækning mod ukrainske mål sammen med bemærkelsesværdige trusler som Industroyer2 . Denne C-baserede malware inkluderer en selvsletningsfunktion, der overskriver sig selv på disken ved starten af udførelsen, mens den også implementerer alternative slettemetoder afhængigt af enhedstypen.
AcidPour er blevet knyttet til en russisk-alignet hackergruppe
AcidPour menes at være blevet implementeret af en hackergruppe identificeret som UAC-0165, som er tilknyttet Sandworm og har en historie med at målrette kritisk infrastruktur i Ukraine.
I oktober 2023 implicerede Ukraines Computer Emergency Response Team (CERT-UA) denne modstander i angreb mod mindst 11 telekommunikationstjenesteudbydere i landet mellem maj og september året før. AcidPour kan være blevet brugt under disse angreb, hvilket tyder på en konsekvent brug af AcidRain/AcidPour-relaterede værktøjer under hele konflikten.
For yderligere at forstærke forbindelsen til Sandworm påtog en trusselsaktør kendt som Solntsepyok (også kaldet Solntsepek eller SolntsepekZ) ansvaret for at infiltrere fire ukrainske telekommunikationsoperatører og forstyrre deres tjenester den 13. marts 2024, kun tre dage før opdagelsen af AcidPour.
Ifølge Ukraines statslige specialkommunikationstjeneste (SSSCIP) er Solntsepyok en russisk avanceret vedvarende trussel (APT) med sandsynlige bånd til hoveddirektoratet for generalstaben for de væbnede styrker i Den Russiske Føderation (GRU), som fører tilsyn med Sandorm.
Det er værd at bemærke, at Solntsepyok også blev anklaget for at bryde Kyivstars systemer så tidligt som i maj 2023, hvor bruddet kom frem i slutningen af december samme år.
Selvom det stadig er usikkert, om AcidPour blev brugt i den seneste bølge af angreb, tyder dets opdagelse på, at trusselsaktører løbende raffinerer deres taktik for at udføre destruktive angreb og forårsage betydelige driftsforstyrrelser.
Denne udvikling fremhæver ikke kun en forbedring af de tekniske muligheder hos disse trusselsaktører, men understreger også deres strategiske tilgang til at udvælge mål for at forstærke ringvirkningerne og derved forstyrre kritisk infrastruktur og kommunikation.
