AcidPour Wiper

Bedreigende software bekend als AcidPour is mogelijk gebruikt bij aanvallen gericht op vier telecommunicatieaanbieders in Oekraïne. Cybersecurity-experts hebben banden tussen deze malware en AcidRain geïdentificeerd en deze in verband gebracht met dreigingsoperaties die verband houden met de Russische militaire inlichtingendienst. AcidPour beschikt over verbeterde functionaliteiten, waardoor het bedreven is in het uitschakelen van verschillende ingebedde apparaten, zoals netwerkapparatuur, Internet of Things (IoT)-apparaten, grote opslagsystemen (RAID's) en mogelijk Industrial Control Systems (ICS) die op Linux x86-distributies draaien.

AcidPour is met name een afgeleide van AcidRain, een ruitenwisser die aanvankelijk werd gebruikt om Viasat KA-SAT-modems te saboteren tijdens de vroege stadia van het Russisch-Oekraïense conflict in 2022, waardoor de militaire communicatienetwerken van Oekraïne werden verstoord.

AcidPour is uitgerust met een uitgebreide reeks intrusieve mogelijkheden

De AcidPour-malware breidt de mogelijkheden van zijn voorganger uit door zich specifiek te richten op Linux-systemen die op x86-architectuur werken. AcidRain is daarentegen op maat gemaakt voor MIPS-architectuur. Hoewel AcidRain meer generiek van aard was, bevat AcidPour gespecialiseerde logica om ingebedde apparaten, Storage Area Networks (SAN's), Network Attached Storage (NAS) -apparaten en speciale RAID-arrays te targeten.

Niettemin delen beide varianten overeenkomsten in het gebruik van reboot-oproepen en recursieve methoden voor het wissen van mappen. Ze maken ook gebruik van een mechanisme voor het wissen van apparaten op basis van IOCTL's, dat gelijkenis vertoont met een andere malware die verband houdt met Sandworm, bekend als VPNFilter .

Een intrigerend aspect van AcidPour is de codeerstijl, die doet denken aan de praktische CaddyWiper- malware, die op grote schaal wordt gebruikt tegen Oekraïense doelen, naast opmerkelijke bedreigingen zoals Industroyer2 . Deze op C gebaseerde malware beschikt over een zelfverwijderingsfunctie die zichzelf aan het begin van de uitvoering op de schijf overschrijft, terwijl er ook alternatieve wismethoden worden geïmplementeerd, afhankelijk van het type apparaat.

AcidPour is gekoppeld aan een aan Rusland gelieerde hackgroep

AcidPour wordt vermoedelijk ingezet door een hackgroep geïdentificeerd als UAC-0165, die is aangesloten bij Sandworm en een geschiedenis heeft van het aanvallen van kritieke infrastructuur in Oekraïne.

In oktober 2023 betrok het Computer Emergency Response Team van Oekraïne (CERT-UA) deze tegenstander bij aanvallen op ten minste elf telecommunicatiedienstverleners in het land tussen mei en september van het voorgaande jaar. Mogelijk is tijdens deze aanvallen gebruik gemaakt van AcidPour, wat duidt op een consistent gebruik van AcidRain/AcidPour-gerelateerde hulpmiddelen gedurende het hele conflict.

Om de verbinding met Sandworm verder te versterken, eiste een bedreigingsacteur bekend als Solntsepyok (ook wel Solntsepek of SolntsepekZ genoemd) de verantwoordelijkheid op voor het infiltreren van vier Oekraïense telecommunicatiebedrijven en het verstoren van hun diensten op 13 maart 2024, slechts drie dagen vóór de ontdekking van AcidPour.

Volgens de State Special Communications Service of Ukraine (SSSCIP) is Solntsepyok een Russische Advanced Persistent Threat (APT) met waarschijnlijke banden met het hoofddirectoraat van de generale staf van de strijdkrachten van de Russische Federatie (GRU), dat toezicht houdt op Sandworm.

Het is vermeldenswaard dat Solntsepyok er al in mei 2023 van werd beschuldigd de systemen van Kievstar te hebben geschonden, waarbij de inbreuk eind december van dat jaar aan het licht kwam.

Hoewel het onzeker blijft of AcidPour werd gebruikt bij de meest recente aanvalsgolf, suggereert de ontdekking ervan dat dreigingsactoren voortdurend hun tactieken verfijnen om destructieve aanvallen uit te voeren en aanzienlijke operationele verstoringen te veroorzaken.

Deze evolutie benadrukt niet alleen een verbetering van de technische capaciteiten van deze bedreigingsactoren, maar onderstreept ook hun strategische aanpak bij het selecteren van doelen om de rimpeleffecten te versterken, waardoor kritieke infrastructuur en communicatie worden verstoord.