AcidPour Wiper
یک نرم افزار تهدید کننده به نام AcidPour به طور بالقوه در حملاتی به چهار ارائه دهنده مخابرات در اوکراین استفاده شده است. کارشناسان امنیت سایبری ارتباط بین این بدافزار و AcidRain را شناسایی کردهاند و آن را به عملیات تهدید مرتبط با اطلاعات نظامی روسیه مرتبط میدانند. AcidPour دارای عملکردهای پیشرفته ای است که آن را در از بین بردن دستگاه های تعبیه شده مختلف مانند تجهیزات شبکه، دستگاه های اینترنت اشیا (IoT)، سیستم های ذخیره سازی بزرگ (RAID) و سیستم های کنترل صنعتی بالقوه (ICS) که بر روی توزیع های Linux x86 اجرا می شوند، ماهر می کند.
قابل ذکر است، AcidPour مشتق شده از AcidRain است، یک برف پاک کن که در ابتدا برای خرابکاری مودم های Viasat KA-SAT در مراحل اولیه درگیری روسیه و اوکراین در سال 2022 مورد استفاده قرار گرفت و شبکه های ارتباطی نظامی اوکراین را مختل کرد.
AcidPour به مجموعه گسترده ای از قابلیت های نفوذی مجهز شده است
بدافزار AcidPour با هدف قرار دادن سیستمهای لینوکس که بر روی معماری x86 کار میکنند، قابلیتهای نسل قبلی خود را گسترش میدهد. در مقابل، AcidRain برای معماری MIPS طراحی شده است. در حالی که AcidRain ماهیت عمومی تر داشت، AcidPour منطق تخصصی را برای هدف قرار دادن دستگاه های تعبیه شده، شبکه های منطقه ذخیره سازی (SAN)، لوازم ذخیره سازی متصل به شبکه (NAS) و آرایه های RAID اختصاصی ترکیب می کند.
با این وجود، هر دو نوع در استفاده از تماسهای راهاندازی مجدد و روشهای پاک کردن دایرکتوری بازگشتی مشترکاتی دارند. آنها همچنین از مکانیزم پاک کردن دستگاه مبتنی بر IOCTL استفاده می کنند که شباهت به بدافزار دیگری مرتبط با Sandworm به نام VPNFilter دارد.
یکی از جنبه های جذاب AcidPour سبک کدگذاری آن است که یادآور بدافزار کاربردی CaddyWiper است که به طور گسترده علیه اهداف اوکراینی در کنار تهدیدهای قابل توجهی مانند Industroyer2 استفاده شده است. این بدافزار مبتنی بر C شامل یک تابع حذف خودکار است که در شروع اجرا روی دیسک بازنویسی میکند و در عین حال بسته به نوع دستگاه، رویکردهای پاکسازی جایگزین را نیز اجرا میکند.
AcidPour به یک گروه هک همسو با روسیه مرتبط شده است
اعتقاد بر این است که AcidPour توسط یک گروه هکر به نام UAC-0165 که وابسته به Sandworm است و سابقه هدف قرار دادن زیرساخت های حیاتی در اوکراین را دارد، مستقر شده است.
در اکتبر 2023، تیم واکنش اضطراری رایانه ای اوکراین (CERT-UA) این دشمن را در حملات علیه حداقل 11 ارائه دهنده خدمات مخابراتی در کشور بین ماه های مه و سپتامبر سال گذشته دخیل دانست. AcidPour ممکن است در طول این حملات به کار گرفته شده باشد، که نشان دهنده استفاده مداوم از ابزارهای مرتبط با AcidRain/AcidPour در طول درگیری است.
با تقویت بیشتر ارتباط با Sandworm، یک عامل تهدید معروف به Solntsepyok (همچنین به عنوان Solntsepek یا SolntsepekZ نیز شناخته می شود) مسئولیت نفوذ به چهار اپراتور مخابراتی اوکراینی و اختلال در خدمات آنها را در 13 مارس 2024، تنها سه روز قبل از کشف AcidPour بر عهده گرفت.
به گفته سرویس ارتباطات ویژه دولتی اوکراین (SSSCIP)، Solntsepyok یک تهدید دائمی پیشرفته روسی (APT) با روابط احتمالی با اداره اصلی ستاد کل نیروهای مسلح فدراسیون روسیه (GRU) است که بر کرم شنی نظارت دارد.
شایان ذکر است که Solntsepyok نیز در اوایل ماه مه 2023 به نقض سیستم های Kyivstar متهم شد که این نقض در اواخر دسامبر همان سال آشکار شد.
در حالی که هنوز مشخص نیست که آیا AcidPour در موج اخیر حملات مورد استفاده قرار گرفته است یا خیر، کشف آن نشان می دهد که عوامل تهدید به طور مداوم تاکتیک های خود را برای اجرای حملات مخرب و ایجاد اختلالات عملیاتی قابل توجه اصلاح می کنند.
این تکامل نه تنها بر افزایش قابلیتهای فنی این بازیگران تهدید تاکید میکند، بلکه بر رویکرد استراتژیک آنها در انتخاب اهداف برای تقویت اثرات موجدار تأکید میکند و در نتیجه زیرساختها و ارتباطات حیاتی را مختل میکند.
<p/ style=";text-align:right;direction:rtl">