AcidPour Wiper

AcidPouri nime all tuntud ähvardavat tarkvara on potentsiaalselt kasutatud rünnakutes, mis on suunatud nelja telekommunikatsiooniteenuse pakkuja vastu Ukrainas. Küberturvalisuse eksperdid on tuvastanud seosed selle pahavara ja AcidRaini vahel, seostades selle Venemaa sõjaväeluurega seotud ohuoperatsioonidega. AcidPour on täiustatud funktsioonidega, mis muudab selle võimetuks mitmesuguste manustatud seadmete, nagu võrguseadmed, asjade Interneti (IoT) seadmed, suured salvestussüsteemid (RAID-id) ja potentsiaalselt tööstuslikud juhtimissüsteemid (ICS), mis töötavad Linuxi x86 distributsioonides.

Nimelt on AcidPour tuletis AcidRainist, klaasipuhastist, mida algselt kasutati Viasati KA-SAT modemite saboteerimiseks 2022. aasta Vene-Ukraina konflikti algfaasis, häirides Ukraina sõjalisi sidevõrke.

AcidPour on varustatud laiendatud sekkumisvõimaluste komplektiga

AcidPouri pahavara laiendab oma eelkäija võimalusi, sihtides konkreetselt x86 arhitektuuriga Linuxi süsteeme. Seevastu AcidRain on kohandatud MIPS-i arhitektuuri jaoks. Kui AcidRain oli oma olemuselt üldisem, siis AcidPour sisaldab spetsiaalset loogikat manustatud seadmete, salvestusvõrkude (SAN), võrguga ühendatud salvestusseadmete (NAS) ja spetsiaalsete RAID-massiivide sihtimiseks.

Sellegipoolest on mõlemal variandil ühised jooned taaskäivituskõnede ja rekursiivsete kataloogipuhastusmeetodite kasutamisel. Nad kasutavad ka IOCTL-idel põhinevat seadme kustutamise mehhanismi, mis sarnaneb mõne muu Sandwormiga seotud pahavaraga, mida tuntakse VPNFilteri nime all.

Üks AcidPouri intrigeeriv aspekt on selle kodeerimisstiil, mis meenutab praktilist CaddyWiperi pahavara, mida on laialdaselt kasutatud Ukraina sihtmärkide vastu koos selliste märkimisväärsete ohtudega nagu Industroyer2 . See C-põhine pahavara sisaldab enesekustutusfunktsiooni, mis kirjutab käivitamise alguses kettale üle, rakendades samal ajal ka alternatiivseid pühkimismeetodeid, olenevalt seadme tüübist.

AcidPour on seotud Venemaa-poolse häkkimisrühmaga

Arvatakse, et AcidPouri kasutas häkkimisrühm, mille nimi on UAC-0165, mis on seotud Sandwormiga ja on varem sihikule võtnud Ukraina kriitilise infrastruktuuri.

2023. aasta oktoobris seostas Ukraina arvutihädaabirühm (CERT-UA) selle vastase rünnakutega vähemalt 11 telekommunikatsiooniteenuse pakkuja vastu riigis eelmise aasta maist kuni septembrini. Nende rünnakute ajal võidi kasutada AcidPouri, mis viitab AcidRaini/AcidPouriga seotud tööriistade järjekindlale kasutamisele kogu konflikti vältel.

Seotust Sandwormiga veelgi tugevdades võttis Solntsepyoki (nimetatud ka kui Solntsepek või SolntsepekZ) nime all tuntud ohutegelane vastutuse nelja Ukraina telekommunikatsioonioperaatori sisse imbumise ja nende teenuste katkestamise eest 13. märtsil 2024, vaid kolm päeva enne AcidPouri avastamist.

Ukraina riikliku erikommunikatsiooniteenistuse (SSSCIP) andmetel on Solntsepyok Venemaa edasijõudnud püsioht (APT), millel on tõenäoline side Vene Föderatsiooni relvajõudude peastaabi peadirektoraadiga (GRU), mis jälgib Sandwommi.

Väärib märkimist, et Solntsepyokit süüdistati ka Kyivstari süsteemide rikkumises juba 2023. aasta mais, kusjuures rikkumine tuli ilmsiks sama aasta detsembri lõpus.

Kuigi on endiselt ebakindel, kas AcidPouri kasutati viimases rünnakulaines, viitab selle avastus sellele, et ohus osalejad täiustavad pidevalt oma taktikat hävitavate rünnakute läbiviimiseks ja märkimisväärsete tegevushäirete tekitamiseks.

See areng mitte ainult ei tõsta esile nende ohustajate tehniliste võimete paranemist, vaid rõhutab ka nende strateegilist lähenemisviisi sihtmärkide valimisel, et võimendada lainetust, häirides seeläbi kriitilist infrastruktuuri ja sidet.