AcidPour Wiper

תוכנה מאיימת המכונה AcidPour נוצלה פוטנציאלית בהתקפות שכוונו לארבעה ספקי תקשורת באוקראינה. מומחי אבטחת סייבר זיהו קשרים בין תוכנה זדונית זו לבין AcidRain , וקישרו אותה לפעולות איומים הקשורות למודיעין הצבאי הרוסי. AcidPour מתגאה בפונקציונליות משופרת, מה שהופך אותו למיומן במניעת התקנים משובצים שונים כגון ציוד רשת, התקני אינטרנט של הדברים (IoT), מערכות אחסון גדולות (RAIDs), ופוטנציאל מערכות בקרה תעשייתיות (ICS) הפועלות על הפצות Linux x86.

יש לציין כי AcidPour היא נגזרת של AcidRain, מגב שהופעל תחילה כדי לחבל במודמים של Viasat KA-SAT בשלבים המוקדמים של הסכסוך הרוסי-אוקראיני ב-2022, מה ששבש את רשתות התקשורת הצבאיות של אוקראינה.

AcidPour מצויד בסט מורחב של יכולות פולשניות

התוכנה הזדונית AcidPour מרחיבה את היכולות של קודמו על ידי מיקוד ספציפי למערכות לינוקס הפועלות על ארכיטקטורת x86. לעומת זאת, AcidRain מותאם לארכיטקטורת MIPS. בעוד AcidRain היה גנרי יותר באופיו, AcidPour משלבת לוגיקה מיוחדת למיקוד התקנים משובצים, רשתות שטח אחסון (SANs), מכשירי אחסון מחוברים ברשת (NAS) ומערכי RAID ייעודיים.

עם זאת, לשתי הגרסאות יש מאפיינים משותפים בשימוש בשיחות אתחול מחדש ובשיטות רקורסיביות לניגוב ספריות. הם גם מפעילים מנגנון מחיקת מכשירים המבוסס על IOCTLs, אשר דומה לתוכנה זדונית אחרת הקשורה ל- Sandworm המכונה VPNFilter .

היבט מסקרן אחד של AcidPour הוא סגנון הקידוד שלו, שמזכיר את התוכנה הזדונית המעשית CaddyWiper , שנעשה בה שימוש נרחב נגד מטרות אוקראיניות לצד איומים בולטים כמו Industroyer2 . תוכנה זדונית מבוססת C כוללת פונקציית מחיקה עצמית שמחליפה את עצמה בדיסק בתחילת הביצוע תוך יישום גישות מחיקה חלופיות בהתאם לסוג המכשיר.

AcidPour נקשר לקבוצת פריצות רוסית

מאמינים כי AcidPour נפרסה על ידי קבוצת פריצה שזוהתה כ-UAC-0165, המזוהה עם Sandworm ויש לה היסטוריה של מיקוד לתשתיות קריטיות באוקראינה.

באוקטובר 2023, צוות תגובת החירום הממוחשב של אוקראינה (CERT-UA) עירב את היריב הזה בהתקפות נגד לפחות 11 ספקי שירותי תקשורת במדינה בין מאי לספטמבר של השנה הקודמת. ייתכן ש- AcidPour הופעל במהלך התקפות אלו, דבר המצביע על שימוש עקבי בכלים הקשורים ל- AcidRain/AcidPour לאורך העימות.

חיזוק נוסף של הקשר ל-Sandworm, שחקן איום המכונה Solntsepyok (המכונה גם Solntsepek או SolntsepekZ) לקח אחריות על חדירת ארבעה מפעילי תקשורת אוקראינים ושיבושים בשירותיהם ב-13 במרץ 2024, שלושה ימים בלבד לפני גילוי AcidPour.

לפי שירות התקשורת המיוחד של אוקראינה (SSSCIP), Solntsepyok הוא איום מתמשך מתקדם רוסי (APT) עם קשרים סבירים למנהלת הראשית של המטה הכללי של הכוחות המזוינים של הפדרציה הרוסית (GRU), המפקחת על תולעי חול.

ראוי לציין כי Solntsepyok הואשם גם בהפרת המערכות של קייבסטאר כבר במאי 2023, כאשר ההפרה התגלתה בסוף דצמבר של אותה שנה.

אמנם עדיין לא בטוח אם נעשה שימוש ב-AcidPour בגל התקיפות האחרון, אבל הגילוי שלו מצביע על כך שגורמי איומים משכללים ללא הרף את הטקטיקות שלהם כדי לבצע תקיפות הרסניות ולגרום לשיבושים תפעוליים משמעותיים.

התפתחות זו לא רק מדגישה שיפור ביכולות הטכניות של גורמי איומים אלה, אלא גם מדגישה את הגישה האסטרטגית שלהם בבחירת מטרות להגברת השפעות האדווה, ובכך לשבש תשתית ותקשורת קריטית.

<p/ style=";text-align:right;direction:rtl">