AcidPour Wiper

AcidPour로 알려진 위협적인 소프트웨어가 우크라이나의 통신 제공업체 4곳을 겨냥한 공격에 잠재적으로 활용되었습니다. 사이버 보안 전문가들은 이 악성 코드와 AcidRain 사이의 연관성을 확인하여 이를 러시아 군사 정보와 관련된 위협 작전과 연결시켰습니다. AcidPour는 향상된 기능을 자랑하여 Linux x86 배포판에서 실행되는 네트워킹 장비, IoT(사물 인터넷) 장치, 대규모 스토리지 시스템(RAID) 및 잠재적인 산업 제어 시스템(ICS)과 같은 다양한 임베디드 장치를 무력화하는 데 적합합니다.

특히 AcidPour는 2022년 러시아-우크라이나 분쟁 초기 단계에서 Viasat KA-SAT 모뎀을 방해하여 우크라이나의 군사 통신 네트워크를 방해하는 데 처음 사용된 와이퍼인 AcidRain의 파생물입니다.

AcidPour는 확장된 침입 기능 세트를 갖추고 있습니다.

AcidPour 악성코드는 특히 x86 아키텍처에서 작동하는 Linux 시스템을 표적으로 삼아 이전 버전의 기능을 확장합니다. 대조적으로, AcidRain은 MIPS 아키텍처에 맞춰져 있습니다. AcidRain은 본질적으로 더 일반적인 반면, AcidPour는 임베디드 장치, SAN(Storage Area Network), NAS(Network Attached Storage) 어플라이언스 및 전용 RAID 어레이를 대상으로 하는 특수 논리를 통합합니다.

그럼에도 불구하고 두 변종 모두 재부팅 호출과 재귀적인 디렉터리 삭제 방법을 활용한다는 점에서 공통점을 공유합니다. 또한 VPNFilter 로 알려진 Sandworm 과 관련된 다른 악성 코드와 유사한 IOCTL 기반의 장치 삭제 메커니즘을 사용합니다.

AcidPour의 흥미로운 측면 중 하나는 Industroyer2 와 같은 주목할만한 위협과 함께 우크라이나 대상에 대해 널리 사용된 실용적인 CaddyWiper 악성 코드를 연상시키는 코딩 스타일입니다. 이 C 기반 악성 코드에는 실행 시작 시 디스크에 자신을 덮어쓰는 동시에 장치 유형에 따라 대체 삭제 접근 방식을 구현하는 자체 삭제 기능이 포함되어 있습니다.

AcidPour는 러시아 연계 해킹 그룹과 연결되어 있습니다

AcidPour는 Sandworm과 제휴하고 우크라이나의 중요 인프라를 표적으로 삼은 이력이 있는 UAC-0165로 식별된 해킹 그룹에 의해 배포된 것으로 추정됩니다.

2023년 10월, 우크라이나 컴퓨터 비상 대응팀(CERT-UA)은 이 공격자가 전년도 5월부터 9월까지 우크라이나 내 최소 11개 통신 서비스 제공업체를 대상으로 한 공격에 연루되었다고 밝혔습니다. 이러한 공격 중에 AcidPour가 사용되었을 수 있으며, 이는 충돌 전반에 걸쳐 AcidRain/AcidPour 관련 도구를 일관되게 사용했음을 시사합니다.

Sandworm과의 연결을 더욱 강화하기 위해 Solntsepyok(Solntsepek 또는 SolntsepekZ라고도 함)으로 알려진 위협 행위자는 AcidPour가 발견되기 불과 3일 전인 2024년 3월 13일에 우크라이나 통신 사업자 4곳에 침투하여 해당 서비스를 방해했다고 주장했습니다.

우크라이나 국가특수통신국(SSSCIP)에 따르면 Solntsepyok은 Sandworm을 감독하는 러시아 연방군 참모총장(GRU) 본부와 관련이 있을 가능성이 있는 러시아 APT(지능형 지속 위협)입니다.

Solntsepyok은 빠르면 2023년 5월에 Kyivstar의 시스템을 침해한 혐의로 기소되었으며, 위반 사실은 그 해 12월 말에 밝혀졌습니다.

가장 최근의 공격에 AcidPour가 활용되었는지 여부는 여전히 불확실하지만, 이 발견은 위협 행위자가 파괴적인 공격을 실행하고 심각한 운영 중단을 야기하기 위해 지속적으로 전술을 개선하고 있음을 시사합니다.

이러한 진화는 위협 행위자의 기술적 역량이 향상되었음을 강조할 뿐만 아니라 파급 효과를 증폭시켜 중요한 인프라와 통신을 방해할 대상을 선택하는 전략적 접근 방식을 강조합니다.