AcidPour Wiper

Ένα απειλητικό λογισμικό γνωστό ως AcidPour έχει δυνητικά χρησιμοποιηθεί σε επιθέσεις που στοχεύουν τέσσερις παρόχους τηλεπικοινωνιών στην Ουκρανία. Οι ειδικοί στον τομέα της κυβερνοασφάλειας έχουν εντοπίσει δεσμούς μεταξύ αυτού του κακόβουλου λογισμικού και του AcidRain , συνδέοντάς το με επιχειρήσεις απειλών που σχετίζονται με τις ρωσικές στρατιωτικές πληροφορίες. Το AcidPour διαθέτει βελτιωμένες λειτουργίες, που το καθιστούν ικανό να ακινητοποιεί διάφορες ενσωματωμένες συσκευές, όπως εξοπλισμό δικτύωσης, συσκευές Internet of Things (IoT), μεγάλα συστήματα αποθήκευσης (RAID) και δυνητικά Industrial Control Systems (ICS) που εκτελούνται σε διανομές Linux x86.

Συγκεκριμένα, το AcidPour είναι ένα παράγωγο του AcidRain, ενός υαλοκαθαριστήρα που αρχικά χρησιμοποιήθηκε για να σαμποτάρει τα μόντεμ Viasat KA-SAT κατά τα πρώτα στάδια της ρωσο-ουκρανικής σύγκρουσης το 2022, διακόπτοντας τα στρατιωτικά δίκτυα επικοινωνίας της Ουκρανίας.

Το AcidPour είναι εξοπλισμένο με ένα διευρυμένο σύνολο παρεμβατικών δυνατοτήτων

Το κακόβουλο λογισμικό AcidPour επεκτείνει τις δυνατότητες του προκατόχου του στοχεύοντας συγκεκριμένα συστήματα Linux που λειτουργούν σε αρχιτεκτονική x86. Αντίθετα, το AcidRain είναι προσαρμοσμένο για αρχιτεκτονική MIPS. Ενώ το AcidRain ήταν πιο γενικό από τη φύση του, το AcidPour ενσωματώνει εξειδικευμένη λογική για τη στόχευση ενσωματωμένων συσκευών, δικτύων περιοχής αποθήκευσης (SAN), συσκευών συνδεδεμένης αποθήκευσης δικτύου (NAS) και αποκλειστικών συστοιχιών RAID.

Ωστόσο, και οι δύο παραλλαγές μοιράζονται κοινά σημεία στη χρήση των κλήσεων επανεκκίνησης και των μεθόδων διαγραφής αναδρομικών καταλόγων. Χρησιμοποιούν επίσης έναν μηχανισμό σκουπίσματος συσκευών που βασίζεται σε IOCTL, ο οποίος μοιάζει με άλλο κακόβουλο λογισμικό που σχετίζεται με το Sandworm γνωστό ως VPNFilter .

Μια ενδιαφέρουσα πτυχή του AcidPour είναι το στυλ κωδικοποίησής του, που θυμίζει το πρακτικό κακόβουλο λογισμικό CaddyWiper , το οποίο έχει χρησιμοποιηθεί ευρέως εναντίον ουκρανικών στόχων παράλληλα με αξιόλογες απειλές όπως το Industroyer2 . Αυτό το κακόβουλο λογισμικό που βασίζεται σε C περιλαμβάνει μια λειτουργία αυτόματης διαγραφής που αντικαθίσταται στον δίσκο κατά την έναρξη της εκτέλεσης, ενώ παράλληλα εφαρμόζει εναλλακτικές προσεγγίσεις σκουπίσματος ανάλογα με τον τύπο της συσκευής.

Το AcidPour έχει συνδεθεί με μια ομάδα hacking συνδεδεμένη με τη Ρωσία

Το AcidPour πιστεύεται ότι αναπτύχθηκε από μια ομάδα hacking που προσδιορίζεται ως UAC-0165, η οποία είναι συνδεδεμένη με το Sandworm και έχει ιστορικό στόχευσης κρίσιμων υποδομών στην Ουκρανία.

Τον Οκτώβριο του 2023, η Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας (CERT-UA) ενέπλεξε αυτόν τον αντίπαλο σε επιθέσεις εναντίον τουλάχιστον 11 παρόχων τηλεπικοινωνιακών υπηρεσιών στη χώρα μεταξύ Μαΐου και Σεπτεμβρίου του προηγούμενου έτους. Το AcidPour μπορεί να χρησιμοποιήθηκε κατά τη διάρκεια αυτών των επιθέσεων, υποδηλώνοντας μια συνεπή χρήση εργαλείων που σχετίζονται με το AcidRain/AcidPour καθ' όλη τη διάρκεια της σύγκρουσης.

Ενισχύοντας περαιτέρω τη σύνδεση με το Sandworm, ένας παράγοντας απειλών γνωστός ως Solntsepyok (επίσης αναφερόμενος ως Solntsepek ή SolntsepekZ) ανέλαβε την ευθύνη για διείσδυση σε τέσσερις ουκρανικούς τηλεπικοινωνιακούς φορείς και διακοπή των υπηρεσιών τους στις 13 Μαρτίου 2024, μόλις τρεις ημέρες πριν από την ανακάλυψη του AcidPour.

Σύμφωνα με την Κρατική Υπηρεσία Ειδικών Επικοινωνιών της Ουκρανίας (SSSCIP), το Solntsepyok είναι μια ρωσική προχωρημένη επίμονη απειλή (APT) με πιθανούς δεσμούς με την κύρια διεύθυνση του Γενικού Επιτελείου των Ενόπλων Δυνάμεων της Ρωσικής Ομοσπονδίας (GRU), η οποία επιβλέπει το Sandworm.

Αξίζει να σημειωθεί ότι ο Solntsepyok κατηγορήθηκε επίσης για παραβίαση των συστημάτων της Kyivstar ήδη από τον Μάιο του 2023, με την παραβίαση να έρχεται στο φως στα τέλη Δεκεμβρίου του ίδιου έτους.

Ενώ παραμένει αβέβαιο εάν το AcidPour χρησιμοποιήθηκε στο πιο πρόσφατο κύμα επιθέσεων, η ανακάλυψή του υποδηλώνει ότι οι φορείς απειλών βελτιώνουν συνεχώς τις τακτικές τους για να εκτελέσουν καταστροφικές επιθέσεις και να προκαλέσουν σημαντικές λειτουργικές διακοπές.

Αυτή η εξέλιξη όχι μόνο υπογραμμίζει τη βελτίωση των τεχνικών δυνατοτήτων αυτών των παραγόντων απειλών, αλλά υπογραμμίζει επίσης τη στρατηγική τους προσέγγιση στην επιλογή στόχων για την ενίσχυση των επιδράσεων κυματισμού, διαταράσσοντας έτσι κρίσιμες υποδομές και επικοινωνίες.