AcidPour Wiper
Prijeteći softver poznat kao AcidPour potencijalno je korišten u napadima usmjerenim na četiri pružatelja telekomunikacijskih usluga u Ukrajini. Stručnjaci za kibernetičku sigurnost identificirali su veze između ovog zlonamjernog softvera i AcidRaina , povezujući ga s operacijama prijetnji povezanim s ruskom vojnom obavještajnom službom. AcidPour se može pohvaliti poboljšanim funkcionalnostima, što ga čini vještim u onesposobljavanju različitih ugrađenih uređaja kao što su mrežna oprema, uređaji Internet of Things (IoT), veliki sustavi za pohranu podataka (RAID) i potencijalno Industrijski kontrolni sustavi (ICS) koji rade na Linux x86 distribucijama.
Naime, AcidPour je derivat AcidRain, brisača koji je prvobitno korišten za sabotažu Viasat KA-SAT modema tijekom ranih faza rusko-ukrajinskog sukoba 2022., ometajući ukrajinske vojne komunikacijske mreže.
AcidPour je opremljen proširenim skupom intruzivnih mogućnosti
Zlonamjerni softver AcidPour proširuje mogućnosti svog prethodnika posebno ciljajući Linux sustave koji rade na x86 arhitekturi. Nasuprot tome, AcidRain je prilagođen za MIPS arhitekturu. Dok je AcidRain bio više generički po prirodi, AcidPour uključuje specijaliziranu logiku za ciljanje ugrađenih uređaja, Storage Area Networks (SAN), Network Attached Storage (NAS) uređaja i namjenskih RAID polja.
Unatoč tome, obje varijante dijele zajedničke značajke u korištenju poziva ponovnog pokretanja i rekurzivnih metoda brisanja imenika. Oni također koriste mehanizam za brisanje uređaja temeljen na IOCTL-ovima, koji je sličan drugom malwareu povezanom sa Sandwormom poznatim kao VPNFilter .
Jedan intrigantan aspekt AcidPour-a je njegov stil kodiranja, koji podsjeća na praktični zlonamjerni softver CaddyWiper , koji se naširoko koristio protiv ukrajinskih ciljeva zajedno s poznatim prijetnjama poput Industroyer2 . Ovaj zlonamjerni softver temeljen na C-u uključuje funkciju samobrisanja koja se prepisuje na disk na početku izvođenja dok također implementira alternativne pristupe brisanju ovisno o vrsti uređaja.
AcidPour je povezan s ruskom hakerskom grupom
Vjeruje se da je AcidPour postavila hakerska skupina identificirana kao UAC-0165, koja je povezana s Sandwormom i ima povijest napada na kritičnu infrastrukturu u Ukrajini.
U listopadu 2023. Ukrajinski tim za odgovor na računalne hitne slučajeve (CERT-UA) upleo je ovog protivnika u napade na najmanje 11 pružatelja telekomunikacijskih usluga u zemlji između svibnja i rujna prethodne godine. AcidPour je možda korišten tijekom ovih napada, što ukazuje na dosljednu upotrebu alata povezanih s AcidRain/AcidPour tijekom cijelog sukoba.
Daljnje jačanje veze s Sandwormom, akter prijetnje poznat kao Solntsepyok (također poznat kao Solntsepek ili SolntsepekZ) preuzeo je odgovornost za infiltraciju u četiri ukrajinska telekomunikacijska operatera i prekid njihovih usluga 13. ožujka 2024., samo tri dana prije otkrića AcidPour.
Prema Državnoj službi za posebne komunikacije Ukrajine (SSSCIP), Solntsepyok je ruska napredna trajna prijetnja (APT) s vjerojatnim vezama s Glavnom upravom Glavnog stožera Oružanih snaga Ruske Federacije (GRU), koja nadzire Sandworm.
Vrijedno je napomenuti da je Solntsepyok također optužen za probijanje Kyivstarovih sustava još u svibnju 2023., a proboj je izašao na vidjelo krajem prosinca te godine.
Iako ostaje neizvjesno je li AcidPour korišten u najnovijem valu napada, njegovo otkriće sugerira da akteri prijetnji kontinuirano usavršavaju svoje taktike kako bi izvršili destruktivne napade i uzrokovali značajne operativne poremećaje.
Ova evolucija ne samo da naglašava poboljšanje tehničkih sposobnosti ovih aktera prijetnji, već također naglašava njihov strateški pristup u odabiru ciljeva za pojačavanje učinaka valova, čime se ometa kritična infrastruktura i komunikacije.
