AcidPour Wiper

Un software minaccioso noto come AcidPour è stato potenzialmente utilizzato negli attacchi mirati a quattro fornitori di telecomunicazioni in Ucraina. Gli esperti di sicurezza informatica hanno identificato legami tra questo malware e AcidRain , collegandolo ad operazioni di minaccia associate all’intelligence militare russa. AcidPour vanta funzionalità avanzate, che lo rendono abile nell'inabilitare vari dispositivi incorporati come apparecchiature di rete, dispositivi Internet of Things (IoT), sistemi di archiviazione di grandi dimensioni (RAID) e potenzialmente sistemi di controllo industriale (ICS) in esecuzione su distribuzioni Linux x86.

In particolare, AcidPour è un derivato di AcidRain, un tergicristallo inizialmente utilizzato per sabotare i modem Viasat KA-SAT durante le prime fasi del conflitto russo-ucraino nel 2022, interrompendo le reti di comunicazione militare dell'Ucraina.

AcidPour è dotato di una serie ampliata di capacità invasive

Il malware AcidPour espande le capacità del suo predecessore prendendo di mira specificamente i sistemi Linux che operano su architettura x86. Al contrario, AcidRain è adattato all'architettura MIPS. Mentre AcidRain era di natura più generica, AcidPour incorpora una logica specializzata per prendere di mira dispositivi embedded, Storage Area Network (SAN), dispositivi NAS (Network attached Storage) e array RAID dedicati.

Tuttavia, entrambe le varianti condividono punti comuni nell'utilizzo di chiamate di riavvio e metodi ricorsivi di cancellazione delle directory. Impiegano inoltre un meccanismo di cancellazione del dispositivo basato su IOCTL, che assomiglia a un altro malware associato a Sandworm noto come VPNFilter .

Un aspetto intrigante di AcidPour è il suo stile di codifica, che ricorda il pratico malware CaddyWiper , che è stato ampiamente utilizzato contro obiettivi ucraini insieme a minacce degne di nota come Industroyer2 . Questo malware basato su C include una funzione di autoeliminazione che si sovrascrive sul disco all'inizio dell'esecuzione e implementa anche approcci di cancellazione alternativi a seconda del tipo di dispositivo.

AcidPour è stato collegato a un gruppo di hacker allineato alla Russia

Si ritiene che AcidPour sia stato utilizzato da un gruppo di hacker identificato come UAC-0165, affiliato a Sandworm e con una storia di attacchi alle infrastrutture critiche in Ucraina.

Nell’ottobre 2023, il Computer Emergency Response Team of Ukraine (CERT-UA) ha coinvolto questo avversario negli attacchi contro almeno 11 fornitori di servizi di telecomunicazione nel paese tra maggio e settembre dell’anno precedente. AcidPour potrebbe essere stato utilizzato durante questi attacchi, suggerendo un uso coerente di strumenti correlati ad AcidRain/AcidPour durante tutto il conflitto.

Rafforzando ulteriormente la connessione con Sandworm, un attore di minacce noto come Solntsepek (noto anche come Solntsepek o SolntsepekZ) ha rivendicato la responsabilità di essersi infiltrato in quattro operatori di telecomunicazioni ucraini e di aver interrotto i loro servizi il 13 marzo 2024, appena tre giorni prima della scoperta di AcidPour.

Secondo il Servizio statale di comunicazioni speciali dell'Ucraina (SSSCIP), Solntsepyok è una minaccia persistente avanzata (APT) russa con probabili legami con la direzione principale dello stato maggiore delle forze armate della Federazione Russa (GRU), che supervisiona Sandworm.

Vale la pena notare che Solntsepyok è stato anche accusato di aver violato i sistemi di Kyivstar già nel maggio 2023, e la violazione è venuta alla luce alla fine di dicembre dello stesso anno.

Anche se resta incerto se AcidPour sia stato utilizzato nell’ondata di attacchi più recente, la sua scoperta suggerisce che gli autori delle minacce stanno continuamente perfezionando le loro tattiche per eseguire attacchi distruttivi e causare significative interruzioni operative.

Questa evoluzione non solo evidenzia un miglioramento delle capacità tecniche di questi autori di minacce, ma sottolinea anche il loro approccio strategico nella selezione degli obiettivi per amplificare gli effetti a catena, interrompendo così le infrastrutture e le comunicazioni critiche.