AcidPour Wiper

En truende programvare kjent som AcidPour har potensielt blitt brukt i angrep rettet mot fire telekommunikasjonsleverandører i Ukraina. Eksperter på nettsikkerhet har identifisert bånd mellom denne skadevaren og AcidRain , og kobler den til trusseloperasjoner knyttet til russisk militær etterretning. AcidPour kan skryte av forbedrede funksjoner, noe som gjør den dyktig til å uføre ulike innebygde enheter som nettverksutstyr, Internet of Things (IoT) enheter, store lagringssystemer (RAID) og potensielt industrielle kontrollsystemer (ICS) som kjører på Linux x86-distribusjoner.

Spesielt er AcidPour et derivat av AcidRain, en visker som opprinnelig ble brukt for å sabotere Viasat KA-SAT-modemer i de tidlige stadiene av den russisk-ukrainske konflikten i 2022, og forstyrret Ukrainas militære kommunikasjonsnettverk.

AcidPour er utstyrt med et utvidet sett med påtrengende egenskaper

AcidPour-skadevare utvider forgjengerens evner ved å spesifikt målrette mot Linux-systemer som opererer på x86-arkitektur. Derimot er AcidRain skreddersydd for MIPS-arkitektur. Mens AcidRain var mer generisk av natur, inkorporerer AcidPour spesialisert logikk for å målrette mot innebygde enheter, Storage Area Networks (SAN), Network Attached Storage (NAS)-enheter og dedikerte RAID-arrayer.

Likevel deler begge variantene fellestrekk i bruken av omstartsamtaler og rekursive katalogslettemetoder. De bruker også en enhetsslettemekanisme basert på IOCTL-er, som ligner på en annen skadelig programvare assosiert med Sandworm kjent som VPNFilter .

Et spennende aspekt ved AcidPour er kodestilen, som minner om den praktiske CaddyWiper -malwaren, som har blitt mye brukt mot ukrainske mål sammen med bemerkelsesverdige trusler som Industroyer2 . Denne C-baserte skadelige programvaren inkluderer en selvslettingsfunksjon som overskriver seg selv på disken ved starten av kjøringen, mens den også implementerer alternative tørkemetoder avhengig av enhetstype.

AcidPour har blitt koblet til en russisk-justert hackergruppe

AcidPour antas å ha blitt distribuert av en hackergruppe identifisert som UAC-0165, som er tilknyttet Sandworm og har en historie med å målrette kritisk infrastruktur i Ukraina.

I oktober 2023 impliserte Computer Emergency Response Team of Ukraine (CERT-UA) denne motstanderen i angrep mot minst 11 telekommunikasjonsleverandører i landet mellom mai og september året før. AcidPour kan ha blitt brukt under disse angrepene, noe som tyder på en konsekvent bruk av AcidRain/AcidPour-relaterte verktøy gjennom hele konflikten.

For ytterligere å forsterke forbindelsen til Sandworm, tok en trusselaktør kjent som Solntsepyok (også referert til som Solntsepek eller SolntsepekZ) ansvaret for å infiltrere fire ukrainske telekommunikasjonsoperatører og forstyrre tjenestene deres 13. mars 2024, bare tre dager før oppdagelsen av AcidPour.

I følge State Special Communications Service of Ukraine (SSSCIP) er Solntsepyok en russisk avansert vedvarende trussel (APT) med sannsynlige bånd til hoveddirektoratet for generalstaben til de væpnede styrker i den russiske føderasjonen (GRU), som fører tilsyn med Sandworm.

Det er verdt å merke seg at Solntsepyok også ble anklaget for brudd på Kyivstars systemer så tidlig som i mai 2023, med bruddet som ble avslørt i slutten av desember samme år.

Selv om det fortsatt er usikkert om AcidPour ble brukt i den siste bølgen av angrep, tyder oppdagelsen på at trusselaktører kontinuerlig finpusser taktikken sin for å utføre destruktive angrep og forårsake betydelige driftsforstyrrelser.

Denne utviklingen fremhever ikke bare en forbedring av de tekniske egenskapene til disse trusselaktørene, men understreker også deres strategiske tilnærming til å velge mål for å forsterke ringvirkningene, og dermed forstyrre kritisk infrastruktur og kommunikasjon.