AcidPour Wiper

កម្មវិធីគំរាមកំហែងដែលគេស្គាល់ថា AcidPour មានសក្តានុពលត្រូវបានប្រើប្រាស់ក្នុងការវាយប្រហារសំដៅទៅលើក្រុមហ៊ុនផ្តល់សេវាទូរគមនាគមន៍ចំនួន 4 នៅអ៊ុយក្រែន។ អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណទំនាក់ទំនងរវាងមេរោគនេះ និង AcidRain ដោយភ្ជាប់វាទៅនឹងប្រតិបត្តិការគំរាមកំហែងដែលទាក់ទងនឹងការស៊ើបការណ៍យោធារុស្ស៊ី។ AcidPour មានមុខងារប្រសើរឡើង ដែលធ្វើឱ្យវាមានភាពប៉ិនប្រសប់ក្នុងការបំប្លែងឧបករណ៍បង្កប់ផ្សេងៗដូចជា ឧបករណ៍បណ្តាញ ឧបករណ៍ Internet of Things (IoT) ប្រព័ន្ធផ្ទុកធំ (RAIDs) និងប្រព័ន្ធគ្រប់គ្រងឧស្សាហកម្មដែលមានសក្តានុពល (ICS) ដែលដំណើរការលើការចែកចាយ Linux x86 ។

គួរកត់សម្គាល់ថា AcidPour គឺជាដេរីវេនៃ AcidRain ដែលជា wiper ដំបូងត្រូវបានប្រើប្រាស់ដើម្បីបំផ្លាញម៉ូដឹម Viasat KA-SAT ក្នុងដំណាក់កាលដំបូងនៃជម្លោះ Russo-Ukrainian ក្នុងឆ្នាំ 2022 ដែលរំខានដល់បណ្តាញទំនាក់ទំនងយោធារបស់អ៊ុយក្រែន។

AcidPour ត្រូវ​បាន​បំពាក់​ដោយ​សំណុំ​ពង្រីក​នៃ​សមត្ថភាព​រំខាន

មេរោគ AcidPour ពង្រីកសមត្ថភាពរបស់អ្នកកាន់តំណែងមុនដោយកំណត់គោលដៅជាពិសេសទៅលើប្រព័ន្ធ Linux ដែលដំណើរការលើស្ថាបត្យកម្ម x86 ។ ផ្ទុយទៅវិញ AcidRain ត្រូវបានកែសម្រួលសម្រាប់ស្ថាបត្យកម្ម MIPS ។ ខណៈពេលដែល AcidRain មានលក្ខណៈទូទៅជាងនេះ AcidPour រួមបញ្ចូលតក្កវិជ្ជាឯកទេសដើម្បីកំណត់គោលដៅឧបករណ៍ដែលបានបង្កប់ បណ្តាញតំបន់ផ្ទុក (SANs) ឧបករណ៍ផ្ទុកភ្ជាប់បណ្តាញ (NAS) ឧបករណ៍ និងអារេ RAID ដែលឧទ្ទិស។

ទោះជាយ៉ាងណាក៏ដោយ វ៉ារ្យ៉ង់ទាំងពីរចែករំលែកភាពធម្មតានៅក្នុងការប្រើប្រាស់របស់ពួកគេនៃការហៅទូរស័ព្ទឡើងវិញ និងវិធីសាស្ត្រលុបថតឡើងវិញ។ ពួកគេក៏ប្រើយន្តការលុបឧបករណ៍ដោយផ្អែកលើ IOCTLs ដែលមានលក្ខណៈស្រដៀងទៅនឹងមេរោគផ្សេងទៀតដែលទាក់ទងនឹង Sandworm ដែលគេស្គាល់ថាជា VPNFilter ។

ទិដ្ឋភាពដ៏គួរឱ្យចាប់អារម្មណ៍មួយនៃ AcidPour គឺជារចនាប័ទ្មសរសេរកូដរបស់វា ដែលនឹកឃើញដល់មេរោគ CaddyWiper ជាក់ស្តែង ដែលត្រូវបានគេប្រើយ៉ាងទូលំទូលាយប្រឆាំងនឹងគោលដៅរបស់អ៊ុយក្រែន រួមជាមួយការគំរាមកំហែងគួរឱ្យកត់សម្គាល់ដូចជា Industroyer2 ។ មេរោគដែលមានមូលដ្ឋានលើ C នេះរួមបញ្ចូលមុខងារលុបដោយខ្លួនឯងដែលសរសេរជាន់លើខ្លួនវានៅលើថាសនៅពេលចាប់ផ្តើមប្រតិបត្តិការ ខណៈពេលដែលកំពុងអនុវត្តវិធីសាស្ត្រលុបជំនួសអាស្រ័យលើប្រភេទឧបករណ៍។

AcidPour ត្រូវ​បាន​គេ​ភ្ជាប់​ទៅ​នឹង​ក្រុម​លួច​ចូល​ពី​រុស្ស៊ី

AcidPour ត្រូវ​បាន​គេ​ជឿ​ថា​ត្រូវ​បាន​ដាក់​ពង្រាយ​ដោយ​ក្រុម​ហេក​ដែល​កំណត់​ថា​ជា UAC-0165 ដែល​មាន​ទំនាក់​ទំនង​ជាមួយ Sandworm ហើយ​មាន​ប្រវត្តិ​នៃ​ការ​កំណត់​គោល​ដៅ​ហេដ្ឋា​រចនា​សម្ព័ន្ធ​សំខាន់​ក្នុង​ប្រទេស​អ៊ុយក្រែន។

នៅខែតុលា ឆ្នាំ 2023 ក្រុមឆ្លើយតបបន្ទាន់កុំព្យូទ័រនៃអ៊ុយក្រែន (CERT-UA) បានជាប់ពាក់ព័ន្ធសត្រូវនេះក្នុងការវាយប្រហារប្រឆាំងនឹងអ្នកផ្តល់សេវាទូរគមនាគមន៍យ៉ាងតិច 11 នៅក្នុងប្រទេសនៅចន្លោះខែឧសភា និងខែកញ្ញានៃឆ្នាំមុន។ AcidPour ប្រហែលជាត្រូវបានប្រើប្រាស់ក្នុងអំឡុងពេលនៃការវាយប្រហារទាំងនេះ ដោយស្នើឱ្យប្រើប្រាស់ឧបករណ៍ដែលទាក់ទងនឹង AcidRain/AcidPour ពេញមួយជម្លោះ។

ការពង្រឹងទំនាក់ទំនងទៅនឹង Sandworm ដែលជាតួអង្គគំរាមកំហែងដែលគេស្គាល់ថា Solntsepyok (ហៅផងដែរថា Solntsepek ឬ SolntsepekZ) បានអះអាងទទួលខុសត្រូវចំពោះការជ្រៀតចូលប្រតិបត្តិករទូរគមនាគមន៍អ៊ុយក្រែនចំនួន 4 និងរំខានសេវាកម្មរបស់ពួកគេនៅថ្ងៃទី 13 ខែមីនា ឆ្នាំ 2024 បីថ្ងៃមុនពេលការរកឃើញ AcidPour ។

យោងតាមសេវាទំនាក់ទំនងពិសេសរដ្ឋនៃអ៊ុយក្រែន (SSSCIP) Solntsepyok គឺជាការគំរាមកំហែងកម្រិតខ្ពស់របស់រុស្ស៊ី (APT) ជាមួយនឹងទំនាក់ទំនងដែលអាចកើតមានជាមួយអគ្គនាយកដ្ឋានបុគ្គលិកនៃកងកម្លាំងប្រដាប់អាវុធនៃសហព័ន្ធរុស្ស៊ី (GRU) ដែលត្រួតពិនិត្យសត្វដង្កូវនាង។

គួរកត់សម្គាល់ថា Solntsepyok ក៏ត្រូវបានចោទប្រកាន់ពីបទរំលោភលើប្រព័ន្ធរបស់ Kyivstar នៅដើមខែឧសភា ឆ្នាំ 2023 ដោយការរំលោភបំពាននឹងលេចចេញជារូបរាងនៅចុងខែធ្នូនៃឆ្នាំនោះ។

ខណៈពេលដែលវានៅតែមិនច្បាស់ថាតើ AcidPour ត្រូវបានគេប្រើប្រាស់នៅក្នុងរលកនៃការវាយប្រហារថ្មីៗបំផុតនោះ ការរកឃើញរបស់វាបង្ហាញថាអ្នកគំរាមកំហែងកំពុងបន្តកែលម្អយុទ្ធសាស្ត្ររបស់ពួកគេដើម្បីអនុវត្តការវាយប្រហារបំផ្លិចបំផ្លាញ និងបណ្តាលឱ្យមានការរំខានដល់ប្រតិបត្តិការសំខាន់ៗ។

ការវិវត្តន៍នេះមិនត្រឹមតែបង្ហាញពីការពង្រឹងសមត្ថភាពបច្ចេកទេសរបស់តួអង្គគំរាមកំហែងទាំងនេះប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងគូសបញ្ជាក់អំពីវិធីសាស្រ្តយុទ្ធសាស្ត្ររបស់ពួកគេក្នុងការជ្រើសរើសគោលដៅដើម្បីបង្កើនឥទ្ធិពលនៃរលក ដែលអាចរំខានដល់ហេដ្ឋារចនាសម្ព័ន្ធ និងទំនាក់ទំនងសំខាន់ៗ។