AcidPour Wiper
Draudoša programmatūra, kas pazīstama kā AcidPour, iespējams, ir izmantota uzbrukumos, kas vērsti pret četriem telekomunikāciju pakalpojumu sniedzējiem Ukrainā. Kiberdrošības eksperti ir identificējuši saikni starp šo ļaunprogrammatūru un AcidRain , saistot to ar draudu operācijām, kas saistītas ar Krievijas militāro izlūkdienestu. AcidPour lepojas ar uzlabotām funkcionalitātēm, padarot to lietpratīgu dažādu iegulto ierīču, piemēram, tīkla iekārtu, lietu interneta (IoT) ierīču, lielu uzglabāšanas sistēmu (RAID) un, iespējams, industriālo vadības sistēmu (ICS), kas darbojas Linux x86 izplatījumos, darbnespējas novēršanā.
Jāatzīmē, ka AcidPour ir AcidRain atvasinājums, tīrītājs, kas sākotnēji tika izmantots, lai sabotētu Viasat KA-SAT modemus 2022. gada Krievijas un Ukrainas konflikta sākumposmā, izjaucot Ukrainas militāros sakaru tīklus.
AcidPour ir aprīkots ar paplašinātu uzmācīgu iespēju komplektu
AcidPour ļaunprogrammatūra paplašina tās priekšgājēja iespējas, īpaši mērķējot uz Linux sistēmām, kas darbojas ar x86 arhitektūru. Turpretim AcidRain ir pielāgots MIPS arhitektūrai. Lai gan AcidRain pēc būtības bija vispārīgāks, AcidPour ietver specializētu loģiku, lai mērķētu uz iegultajām ierīcēm, uzglabāšanas apgabalu tīkliem (SAN), tīklam pievienotajām krātuves (NAS) ierīcēm un īpašiem RAID masīviem.
Tomēr abiem variantiem ir kopīgas iezīmes atsāknēšanas zvanu un rekursīvo direktoriju dzēšanas metožu izmantošanā. Tajos tiek izmantots arī ierīces tīrīšanas mehānisms, kura pamatā ir IOCTL, un tam ir līdzība ar citu ļaunprogrammatūru, kas saistīta ar Sandworm , kas pazīstama kā VPNFilter .
Viens intriģējošs AcidPour aspekts ir tā kodēšanas stils, kas atgādina praktisko CaddyWiper ļaunprogrammatūru, kas ir plaši izmantota pret Ukrainas mērķiem līdzās tādiem ievērojamiem draudiem kā Industroyer2 . Šajā uz C balstītajā ļaunprātīgajā programmā ir iekļauta pašizdzēšanas funkcija, kas izpildes sākumā pārraksta sevi diskā, vienlaikus ieviešot alternatīvas dzēšanas metodes atkarībā no ierīces veida.
AcidPour ir bijis saistīts ar Krievijā saskaņotu hakeru grupu
Tiek uzskatīts, ka AcidPour ir izvietojusi hakeru grupa, kas identificēta kā UAC-0165, kas ir saistīta ar Sandworm un kuras vēsture ir mērķēta uz kritisko infrastruktūru Ukrainā.
2023. gada oktobrī Ukrainas Computer Emergency Response Team (CERT-UA) iesaistīja šo pretinieku uzbrukumos vismaz 11 telekomunikāciju pakalpojumu sniedzējiem valstī laika posmā no iepriekšējā gada maija līdz septembrim. Šo uzbrukumu laikā, iespējams, tika izmantots AcidPour, kas liecina par konsekventu ar AcidRain/AcidPour saistīto rīku izmantošanu konflikta laikā.
Vēl vairāk pastiprinot saikni ar Sandworm, draudu aktieris, kas pazīstams kā Solntsepyok (saukts arī par Solntsepek vai SolntsepekZ), uzņēmās atbildību par iefiltrēšanos četros Ukrainas telekomunikāciju operatoros un to pakalpojumu pārtraukšanu 2024. gada 13. martā, tikai trīs dienas pirms AcidPour atklāšanas.
Saskaņā ar Ukrainas Valsts speciālo sakaru dienesta (SSSCIP) sniegto informāciju, Solncepyok ir Krievijas attīstītais pastāvīgs apdraudējums (APT), kas, iespējams, ir saistīts ar Krievijas Federācijas Bruņoto spēku Ģenerālštāba (GRU) galveno direktorātu, kas pārrauga Sandworm.
Ir vērts atzīmēt, ka Solntsepyok tika apsūdzēts arī Kyivstar sistēmu pārkāpšanā jau 2023. gada maijā, un pārkāpums tika atklāts tā paša gada decembra beigās.
Lai gan joprojām nav skaidrs, vai AcidPour tika izmantots pēdējā uzbrukumu vilnī, tā atklājums liecina, ka apdraudējuma dalībnieki nepārtraukti pilnveido savu taktiku, lai veiktu destruktīvus uzbrukumus un radītu ievērojamus darbības traucējumus.
Šī attīstība ne tikai izceļ šo apdraudējuma dalībnieku tehnisko spēju uzlabošanos, bet arī uzsver viņu stratēģisko pieeju, izvēloties mērķus, lai pastiprinātu viļņošanās efektus, tādējādi izjaucot kritisko infrastruktūru un sakarus.
