AcidPour Wiper
Uhkaavaa ohjelmistoa, joka tunnetaan nimellä AcidPour, on mahdollisesti käytetty hyökkäyksissä neljää teleoperaattoria vastaan Ukrainassa. Kyberturvallisuusasiantuntijat ovat havainneet tämän haittaohjelman ja AcidRainin välisiä yhteyksiä ja yhdistäneet sen Venäjän sotilastiedusteluun liittyviin uhkatoimintoihin. AcidPour tarjoaa parannettuja toimintoja, mikä tekee siitä taitavan estää erilaisia sulautettuja laitteita, kuten verkkolaitteita, Internet of Things (IoT) -laitteita, suuria tallennusjärjestelmiä (RAID) ja mahdollisesti teollisuusohjausjärjestelmiä (ICS), jotka toimivat Linux x86 -jakeluissa.
Erityisesti AcidPour on johdannainen AcidRainista, pyyhin, jota alun perin käytettiin sabotoimaan Viasat KA-SAT -modeemeja Venäjän ja Ukrainan konfliktin alkuvaiheessa vuonna 2022, mikä häiritsi Ukrainan sotilaallisia viestintäverkkoja.
AcidPour on varustettu laajennetulla valikoimalla häiritseviä ominaisuuksia
AcidPour-haittaohjelma laajentaa edeltäjänsä ominaisuuksia kohdentamalla erityisesti x86-arkkitehtuurilla toimiviin Linux-järjestelmiin. Sitä vastoin AcidRain on räätälöity MIPS-arkkitehtuuriin. Vaikka AcidRain oli luonteeltaan yleisempi, AcidPour sisältää erikoislogiikan kohdistaakseen sulautettuja laitteita, tallennusalueverkkoja (SAN), verkkoon liitettyjä tallennuslaitteita (NAS) ja erityisiä RAID-ryhmiä.
Siitä huolimatta molemmilla varianteilla on yhteisiä piirteitä uudelleenkäynnistyskutsujen ja rekursiivisten hakemistonpyyhkimismenetelmien käytössä. Ne käyttävät myös IOCTL:iin perustuvaa laitteen pyyhkimismekanismia, joka muistuttaa toista Sandworm -haittaohjelmaa, joka tunnetaan nimellä VPNFilter .
Yksi AcidPourin kiehtova puoli on sen koodaustyyli, joka muistuttaa käytännöllistä CaddyWiper- haittaohjelmaa, jota on käytetty laajalti ukrainalaisia kohteita vastaan Industroyer2:n kaltaisten merkittävien uhkien ohella. Tämä C-pohjainen haittaohjelma sisältää itsepoistotoiminnon, joka ylikirjoittaa itsensä levylle suorituksen alussa ja toteuttaa samalla vaihtoehtoisia pyyhintämenetelmiä laitetyypistä riippuen.
AcidPour on yhdistetty venäläiseen hakkerointiryhmään
AcidPourin uskotaan ottavan käyttöön hakkerointiryhmä, jonka nimi on UAC-0165, joka on sidoksissa Sandwormiin ja jolla on historiaa Ukrainan kriittisen infrastruktuurin kohteeksi joutuneen.
Lokakuussa 2023 Ukrainan Computer Emergency Response Team (CERT-UA) syyllistyi tähän viholliseen hyökkäyksiin vähintään 11 tietoliikennepalveluntarjoajaa vastaan maassa edellisen vuoden touko-syyskuun välisenä aikana. AcidPouria on saatettu käyttää näiden hyökkäysten aikana, mikä viittaa johdonmukaiseen AcidRain/AcidPour-työkalujen käyttöön koko konfliktin ajan.
Solntsepyokina (kutsutaan myös nimellä Solntsepek tai SolntsepekZ) uhkaava toimija, joka vahvisti edelleen yhteyttä Sandwormiin, otti vastuun soluttautumisesta neljään ukrainalaiseen teleoperaattoriin ja häiritsi heidän palvelujaan 13. maaliskuuta 2024, vain kolme päivää ennen AcidPourin löytymistä.
Ukrainan valtion erityisviestintäpalvelun (SSSCIP) mukaan Solntsepyok on Venäjän kehittynyt jatkuva uhka (APT), jolla on todennäköisesti yhteyksiä Venäjän federaation asevoimien pääesikunnan pääosastoon (GRU), joka valvoo Sandwormia.
On syytä huomata, että Solntsepyokia syytettiin myös Kyivstarin järjestelmien murtamisesta jo toukokuussa 2023, ja rikkomus paljastui saman vuoden joulukuun lopussa.
Vaikka on edelleen epävarmaa, käytettiinkö AcidPouria viimeisimmässä hyökkäysaaltossa, sen löytö viittaa siihen, että uhkatoimijat jalostavat jatkuvasti taktiikkaansa suorittaakseen tuhoisia hyökkäyksiä ja aiheuttaakseen merkittäviä toimintahäiriöitä.
Tämä kehitys ei ainoastaan korosta näiden uhkatoimijoiden teknisten valmiuksien kehittymistä, vaan myös korostaa heidän strategista lähestymistapaansa kohteiden valinnassa, jotka vahvistavat heijastusvaikutuksia ja häiritsevät siten kriittistä infrastruktuuria ja viestintää.
