AcidPour Wiper

Grėsminga programinė įranga, žinoma kaip AcidPour, gali būti panaudota atakoms, nukreiptoms prieš keturis telekomunikacijų paslaugų teikėjus Ukrainoje. Kibernetinio saugumo ekspertai nustatė sąsajas tarp šios kenkėjiškos programos ir AcidRain , siedami ją su grėsmės operacijomis, susijusiomis su Rusijos karine žvalgyba. „AcidPour“ gali pasigirti patobulintomis funkcijomis, todėl ji yra tinkama išjungti įvairius įterptuosius įrenginius, tokius kaip tinklo įranga, daiktų interneto (IoT) įrenginiai, didelės saugojimo sistemos (RAID) ir galbūt pramoninės valdymo sistemos (ICS), veikiančios „Linux x86“ platinimuose.

Pažymėtina, kad „AcidPour“ yra „AcidRain“ – valytuvo, kuris iš pradžių buvo naudojamas sabotuoti „Viasat KA-SAT“ modemus ankstyvosiose 2022 m. Rusijos ir Ukrainos konflikto stadijose, darinys, sutrikdydamas Ukrainos karinius ryšių tinklus.

„AcidPour“ yra aprūpintas išplėstu įsilaužimo galimybių rinkiniu

Kenkėjiška „AcidPour“ programa išplečia savo pirmtako galimybes konkrečiai taikydama „Linux“ sistemas, veikiančias x86 architektūra. Priešingai, „AcidRain“ yra pritaikyta MIPS architektūrai. Nors „AcidRain“ buvo bendresnis, „AcidPour“ apima specializuotą logiką, skirtą nukreipti į įterptuosius įrenginius, saugojimo zonos tinklus (SAN), prie tinklo prijungtus saugojimo (NAS) įrenginius ir specialius RAID matricas.

Nepaisant to, abu variantai turi bendrų bruožų naudojant pakartotinio paleidimo iškvietimus ir rekursinius katalogo valymo metodus. Jie taip pat naudoja įrenginio valymo mechanizmą, pagrįstą IOCTL, kuris yra panašus į kitą kenkėjišką programą, susijusią su Sandworm , žinomą kaip VPNFilter .

Vienas intriguojančių „AcidPour“ aspektų yra jo kodavimo stilius, primenantis praktišką „CaddyWiper“ kenkėjišką programinę įrangą, kuri buvo plačiai naudojama prieš Ukrainos taikinius kartu su žymiomis grėsmėmis, tokiomis kaip „Industroyer2 “. Ši C pagrindu sukurta kenkėjiška programa apima savaiminio ištrynimo funkciją, kuri perrašo save diske vykdymo pradžioje, kartu įgyvendindama alternatyvius valymo būdus, atsižvelgiant į įrenginio tipą.

„AcidPour“ buvo susieta su Rusijos įsilaužimo grupe

Manoma, kad „AcidPour“ dislokavo įsilaužimo grupė, identifikuota kaip UAC-0165, kuri yra susijusi su „Sandworm“ ir yra nusitaikusi į svarbiausią infrastruktūrą Ukrainoje.

2023 m. spalį Ukrainos kompiuterinių avarijų reagavimo komanda (CERT-UA) įtraukė šį priešininką į atakas prieš mažiausiai 11 telekomunikacijų paslaugų teikėjų šalyje nuo praėjusių metų gegužės iki rugsėjo. AcidPour galėjo būti panaudota per šias atakas, o tai rodo, kad konflikto metu nuosekliai buvo naudojamos su AcidRain / AcidPour susijusios priemonės.

Dar labiau sustiprindamas ryšį su Sandworm, grėsmių veikėjas, žinomas kaip Solntsepyok (dar vadinamas Solntsepek arba SolntsepekZ), prisiėmė atsakomybę už įsiskverbimą į keturis Ukrainos telekomunikacijų operatorius ir jų paslaugų sutrikdymą 2024 m. kovo 13 d., likus vos trims dienoms iki AcidPour atradimo.

Ukrainos valstybinės specialiosios ryšių tarnybos (SSSCIP) duomenimis, Solntsepyok yra Rusijos pažangioji nuolatinė grėsmė (APT), turinti galimų ryšių su Rusijos Federacijos ginkluotųjų pajėgų generalinio štabo (GRU) pagrindiniu direktoratu, prižiūrinčiu Sandworm.

Verta paminėti, kad Solntsepyok taip pat buvo apkaltintas pažeidus Kyivstar sistemas dar 2023 m. gegužės mėn., o pažeidimas paaiškėjo tų metų gruodžio pabaigoje.

Nors lieka neaišku, ar „AcidPour“ buvo panaudota per naujausią atakų bangą, jos atradimas rodo, kad grėsmės veikėjai nuolat tobulina savo taktiką, siekdami įvykdyti destruktyvius išpuolius ir sukelti didelių veiklos sutrikimų.

Ši raida ne tik išryškina šių grėsmių subjektų techninių pajėgumų pagerėjimą, bet ir pabrėžia jų strateginį požiūrį renkantis taikinius, siekiant sustiprinti bangavimo poveikį ir taip sutrikdyti ypatingos svarbos infrastruktūrą ir ryšius.