AcidPour Wiper

Az AcidPour néven ismert fenyegető szoftvert négy ukrajnai távközlési szolgáltató ellen irányuló támadásokhoz használták fel. A kiberbiztonsági szakértők kapcsolatot azonosítottak e rosszindulatú program és az AcidRain között, és az orosz katonai hírszerzéshez kapcsolódó fenyegetési műveletekhez kapcsolják. Az AcidPour továbbfejlesztett funkciókkal büszkélkedhet, így alkalmassá teszi a különféle beágyazott eszközök, például hálózati berendezések, Internet of Things (IoT) eszközök, nagy tárolórendszerek (RAID) és esetlegesen a Linux x86 disztribúciókon futó ipari vezérlőrendszerek (ICS) működésképtelenítésére.

Az AcidPour az AcidRain származéka, egy ablaktörlő, amelyet eredetileg a Viasat KA-SAT modemek szabotálására használtak a 2022-es orosz-ukrán konfliktus korai szakaszában, megzavarva Ukrajna katonai kommunikációs hálózatait.

Az AcidPour a behatoló képességek kibővített készletével van felszerelve

Az AcidPour kártevő kibővíti elődje képességeit azzal, hogy kifejezetten az x86 architektúrán működő Linux rendszereket célozza meg. Ezzel szemben az AcidRain a MIPS architektúrára lett szabva. Míg az AcidRain általánosabb jellegű volt, az AcidPour speciális logikát tartalmaz a beágyazott eszközök, SAN-hálózatok, hálózathoz csatolt tárolóeszközök (NAS) és dedikált RAID-tömbök célzására.

Ennek ellenére mindkét változatban közösek az újraindítási hívások és a rekurzív címtártörlési módszerek. IOCTL-eken alapuló eszköztörlési mechanizmust is alkalmaznak, amely hasonlít egy másik, a Sandwormhoz kapcsolódó rosszindulatú programra, amely VPNFilter néven ismert.

Az AcidPour egyik érdekes aspektusa a kódolási stílusa, amely a praktikus CaddyWiper kártevőre emlékeztet, amelyet széles körben használnak ukrán célpontok ellen olyan figyelemre méltó fenyegetések mellett, mint az Industroyer2 . Ez a C-alapú rosszindulatú program tartalmaz egy öntörlő funkciót, amely felülírja magát a lemezen a végrehajtás elején, miközben alternatív törlési megközelítéseket is megvalósít az eszköz típusától függően.

Az AcidPour-t egy oroszországi hackercsoporthoz kapcsolták

Az AcidPourt feltehetően egy UAC-0165 néven azonosított hackercsoport telepítette, amely kapcsolatban áll a Sandworm-mal, és korábban Ukrajna kritikus infrastruktúráit célozta meg.

2023 októberében az ukrán Computer Emergency Response Team (CERT-UA) az előző év májusa és szeptembere között legalább 11 távközlési szolgáltató elleni támadásban érintette ezt az ellenfelet az országban. Az AcidPour-t alkalmazhatták ezeknél a támadásoknál, ami arra utal, hogy az AcidRain/AcidPour-hoz kapcsolódó eszközök következetes használatát a konfliktus során.

Tovább erősítve a kapcsolatot a Sandworm-mal, a Solntsepyok (más néven Solntsepyok vagy SolntsepekZ) fenyegetett szereplő vállalta a felelősséget, amiért beszivárgott négy ukrán távközlési szolgáltatóhoz és megzavarta szolgáltatásaikat 2024. március 13-án, mindössze három nappal az AcidPour felfedezése előtt.

Az Ukrajna Állami Különleges Kommunikációs Szolgálata (SSSCIP) szerint a Solntsepyok egy orosz előrehaladott állandó fenyegetés (APT), amely valószínűleg az Orosz Föderáció Fegyveres Erői Vezérkarának (GRU) főigazgatóságához kötődik, amely a Sandwormot felügyeli.

Érdemes megjegyezni, hogy Solntsepyok-ot azzal is vádolták, hogy már 2023 májusában feltörte a Kyivstar rendszereit, és a jogsértésre az év decemberének végén derült fény.

Bár továbbra is bizonytalan, hogy az AcidPour-t felhasználták-e a legutóbbi támadási hullámban, felfedezése azt sugallja, hogy a fenyegetés szereplői folyamatosan finomítják taktikájukat, hogy pusztító támadásokat hajtsanak végre, és jelentős működési zavarokat okozzanak.

Ez az evolúció nemcsak e fenyegető szereplők műszaki képességeinek javulását emeli ki, hanem hangsúlyozza stratégiai megközelítésüket is a célpontok kiválasztásában, hogy felerősítsék a hullámzási hatásokat, megzavarva ezzel a kritikus infrastruktúrát és a kommunikációt.