AcidPour Wiper

یک نرم افزار تهدید کننده به نام AcidPour به طور بالقوه در حملاتی به چهار ارائه دهنده مخابرات در اوکراین استفاده شده است. کارشناسان امنیت سایبری ارتباط بین این بدافزار و AcidRain را شناسایی کرده‌اند و آن را به عملیات تهدید مرتبط با اطلاعات نظامی روسیه مرتبط می‌دانند. AcidPour دارای عملکردهای پیشرفته ای است که آن را در از بین بردن دستگاه های تعبیه شده مختلف مانند تجهیزات شبکه، دستگاه های اینترنت اشیا (IoT)، سیستم های ذخیره سازی بزرگ (RAID) و سیستم های کنترل صنعتی بالقوه (ICS) که بر روی توزیع های Linux x86 اجرا می شوند، ماهر می کند.

قابل ذکر است، AcidPour مشتق شده از AcidRain است، یک برف پاک کن که در ابتدا برای خرابکاری مودم های Viasat KA-SAT در مراحل اولیه درگیری روسیه و اوکراین در سال 2022 مورد استفاده قرار گرفت و شبکه های ارتباطی نظامی اوکراین را مختل کرد.

AcidPour به مجموعه گسترده ای از قابلیت های نفوذی مجهز شده است

بدافزار AcidPour با هدف قرار دادن سیستم‌های لینوکس که بر روی معماری x86 کار می‌کنند، قابلیت‌های نسل قبلی خود را گسترش می‌دهد. در مقابل، AcidRain برای معماری MIPS طراحی شده است. در حالی که AcidRain ماهیت عمومی تر داشت، AcidPour منطق تخصصی را برای هدف قرار دادن دستگاه های تعبیه شده، شبکه های منطقه ذخیره سازی (SAN)، لوازم ذخیره سازی متصل به شبکه (NAS) و آرایه های RAID اختصاصی ترکیب می کند.

با این وجود، هر دو نوع در استفاده از تماس‌های راه‌اندازی مجدد و روش‌های پاک کردن دایرکتوری بازگشتی مشترکاتی دارند. آنها همچنین از مکانیزم پاک کردن دستگاه مبتنی بر IOCTL استفاده می کنند که شباهت به بدافزار دیگری مرتبط با Sandworm به نام VPNFilter دارد.

یکی از جنبه های جذاب AcidPour سبک کدگذاری آن است که یادآور بدافزار کاربردی CaddyWiper است که به طور گسترده علیه اهداف اوکراینی در کنار تهدیدهای قابل توجهی مانند Industroyer2 استفاده شده است. این بدافزار مبتنی بر C شامل یک تابع حذف خودکار است که در شروع اجرا روی دیسک بازنویسی می‌کند و در عین حال بسته به نوع دستگاه، رویکردهای پاک‌سازی جایگزین را نیز اجرا می‌کند.

AcidPour به یک گروه هک همسو با روسیه مرتبط شده است

اعتقاد بر این است که AcidPour توسط یک گروه هکر به نام UAC-0165 که وابسته به Sandworm است و سابقه هدف قرار دادن زیرساخت های حیاتی در اوکراین را دارد، مستقر شده است.

در اکتبر 2023، تیم واکنش اضطراری رایانه ای اوکراین (CERT-UA) این دشمن را در حملات علیه حداقل 11 ارائه دهنده خدمات مخابراتی در کشور بین ماه های مه و سپتامبر سال گذشته دخیل دانست. AcidPour ممکن است در طول این حملات به کار گرفته شده باشد، که نشان دهنده استفاده مداوم از ابزارهای مرتبط با AcidRain/AcidPour در طول درگیری است.

با تقویت بیشتر ارتباط با Sandworm، یک عامل تهدید معروف به Solntsepyok (همچنین به عنوان Solntsepek یا SolntsepekZ نیز شناخته می شود) مسئولیت نفوذ به چهار اپراتور مخابراتی اوکراینی و اختلال در خدمات آنها را در 13 مارس 2024، تنها سه روز قبل از کشف AcidPour بر عهده گرفت.

به گفته سرویس ارتباطات ویژه دولتی اوکراین (SSSCIP)، Solntsepyok یک تهدید دائمی پیشرفته روسی (APT) با روابط احتمالی با اداره اصلی ستاد کل نیروهای مسلح فدراسیون روسیه (GRU) است که بر کرم شنی نظارت دارد.

شایان ذکر است که Solntsepyok نیز در اوایل ماه مه 2023 به نقض سیستم های Kyivstar متهم شد که این نقض در اواخر دسامبر همان سال آشکار شد.

در حالی که هنوز مشخص نیست که آیا AcidPour در موج اخیر حملات مورد استفاده قرار گرفته است یا خیر، کشف آن نشان می دهد که عوامل تهدید به طور مداوم تاکتیک های خود را برای اجرای حملات مخرب و ایجاد اختلالات عملیاتی قابل توجه اصلاح می کنند.

این تکامل نه تنها بر افزایش قابلیت‌های فنی این بازیگران تهدید تاکید می‌کند، بلکه بر رویکرد استراتژیک آنها در انتخاب اهداف برای تقویت اثرات موج‌دار تأکید می‌کند و در نتیجه زیرساخت‌ها و ارتباطات حیاتی را مختل می‌کند.

<p/ style=";text-align:right;direction:rtl">