AcidPour Wiper

Perisian mengancam yang dikenali sebagai AcidPour berpotensi digunakan dalam serangan yang ditujukan kepada empat penyedia telekomunikasi di Ukraine. Pakar keselamatan siber telah mengenal pasti hubungan antara perisian hasad ini dan AcidRain , mengaitkannya dengan operasi ancaman yang dikaitkan dengan perisikan tentera Rusia. AcidPour menawarkan fungsi yang dipertingkatkan, menjadikannya mahir dalam melumpuhkan pelbagai peranti terbenam seperti peralatan rangkaian, peranti Internet of Things (IoT), sistem storan besar (RAID) dan Sistem Kawalan Perindustrian (ICS) yang berpotensi berjalan pada pengedaran Linux x86.

Terutama, AcidPour ialah terbitan AcidRain, pengelap yang pada mulanya digunakan untuk mensabotaj modem Viasat KA-SAT semasa peringkat awal konflik Rusia-Ukraine pada 2022, mengganggu rangkaian komunikasi ketenteraan Ukraine.

AcidPour Dilengkapi dengan Set Keupayaan Intrusif yang Diperluaskan

Malware AcidPour mengembangkan keupayaan pendahulunya dengan secara khusus menyasarkan sistem Linux yang beroperasi pada seni bina x86. Sebaliknya, AcidRain disesuaikan untuk seni bina MIPS. Walaupun AcidRain bersifat lebih generik, AcidPour menggabungkan logik khusus untuk menyasarkan peranti terbenam, Rangkaian Kawasan Storan (SAN), perkakas Storan Terpasang Rangkaian (NAS) dan tatasusunan RAID khusus.

Namun begitu, kedua-dua varian berkongsi persamaan dalam penggunaan panggilan but semula dan kaedah mengelap direktori rekursif. Mereka juga menggunakan mekanisme mengelap peranti berdasarkan IOCTL, yang mempunyai persamaan dengan perisian hasad lain yang dikaitkan dengan Sandworm yang dikenali sebagai VPNFilter .

Satu aspek AcidPour yang menarik ialah gaya pengekodannya, mengingatkan kepada perisian hasad CaddyWiper praktikal, yang telah digunakan secara meluas terhadap sasaran Ukraine bersama ancaman ketara seperti Industroyer2 . Perisian hasad berasaskan C ini termasuk fungsi padam sendiri yang menimpa dirinya sendiri pada cakera pada permulaan pelaksanaan sambil turut melaksanakan pendekatan penghapusan alternatif bergantung pada jenis peranti.

AcidPour Telah Dipautkan kepada Kumpulan Penggodaman Bersekutu Rusia

AcidPour dipercayai telah digunakan oleh kumpulan penggodaman yang dikenal pasti sebagai UAC-0165, yang bergabung dengan Sandworm dan mempunyai sejarah menyasarkan infrastruktur kritikal di Ukraine.

Pada Oktober 2023, Pasukan Tindak Balas Kecemasan Komputer Ukraine (CERT-UA) membabitkan musuh ini dalam serangan terhadap sekurang-kurangnya 11 penyedia perkhidmatan telekomunikasi di negara itu antara Mei dan September tahun sebelumnya. AcidPour mungkin telah digunakan semasa serangan ini, mencadangkan penggunaan alat berkaitan AcidRain/AcidPour secara konsisten sepanjang konflik.

Mengukuhkan lagi hubungan dengan Sandworm, pelakon ancaman yang dikenali sebagai Solntsepyok (juga dirujuk sebagai Solntsepek atau SolntsepekZ) mengaku bertanggungjawab kerana menyusup masuk empat operator telekomunikasi Ukraine dan mengganggu perkhidmatan mereka pada 13 Mac 2024, hanya tiga hari sebelum penemuan AcidPour.

Menurut Perkhidmatan Komunikasi Khas Negara Ukraine (SSSCIP), Solntsepyok ialah Ancaman Berterusan Lanjutan Rusia (APT) yang berkemungkinan mempunyai hubungan dengan Direktorat Utama Staf Am Angkatan Tentera Persekutuan Rusia (GRU), yang menyelia Sandworm.

Perlu diingat bahawa Solntsepyok juga dituduh melanggar sistem Kyivstar seawal Mei 2023, dengan pelanggaran itu mula diketahui pada akhir Disember tahun itu.

Walaupun masih tidak pasti sama ada AcidPour digunakan dalam gelombang serangan terbaharu, penemuannya menunjukkan bahawa pelaku ancaman secara berterusan memperhalusi taktik mereka untuk melaksanakan serangan yang merosakkan dan menyebabkan gangguan operasi yang ketara.

Evolusi ini bukan sahaja menyerlahkan peningkatan dalam keupayaan teknikal pelaku ancaman ini tetapi juga menekankan pendekatan strategik mereka dalam memilih sasaran untuk menguatkan kesan riak, sekali gus mengganggu infrastruktur dan komunikasi kritikal.