AcidPour Wiper
Zagrażające oprogramowanie znane jako AcidPour zostało potencjalnie wykorzystane w atakach wymierzonych w czterech dostawców telekomunikacyjnych na Ukrainie. Eksperci ds. cyberbezpieczeństwa zidentyfikowali powiązania między tym szkodliwym oprogramowaniem a AcidRainem , łącząc je z operacjami związanymi z zagrożeniami powiązanymi z rosyjskim wywiadem wojskowym. AcidPour oferuje ulepszone funkcjonalności, dzięki czemu doskonale radzi sobie z wyłączaniem różnych urządzeń wbudowanych, takich jak sprzęt sieciowy, urządzenia Internetu rzeczy (IoT), duże systemy pamięci masowej (RAID) i potencjalnie przemysłowe systemy sterowania (ICS) działające w dystrybucjach Linux x86.
Warto zauważyć, że AcidPour jest pochodną AcidRain, narzędzia wycierającego początkowo zastosowanego do sabotowania modemów Viasat KA-SAT na wczesnych etapach konfliktu rosyjsko-ukraińskiego w 2022 r., zakłócając wojskowe sieci komunikacyjne Ukrainy.
AcidPour jest wyposażony w rozszerzony zestaw inwazyjnych możliwości
Szkodnik AcidPour rozszerza możliwości swojego poprzednika, celując w szczególności w systemy Linux działające w architekturze x86. Natomiast AcidRain jest dostosowany do architektury MIPS. Chociaż AcidRain miał bardziej ogólny charakter, AcidPour zawiera wyspecjalizowaną logikę ukierunkowaną na urządzenia wbudowane, sieci SAN, urządzenia pamięci masowej podłączone do sieci (NAS) i dedykowane macierze RAID.
Niemniej jednak oba warianty mają wspólne cechy w zakresie wykorzystania wywołań ponownego uruchomienia i rekursywnych metod czyszczenia katalogów. Wykorzystują również mechanizm czyszczenia urządzenia oparty na IOCTL, który jest podobny do innego szkodliwego oprogramowania powiązanego z Sandwormem , znanego jako VPNFilter .
Intrygującym aspektem AcidPour jest jego styl kodowania, przypominający praktyczne szkodliwe oprogramowanie CaddyWiper , które było szeroko stosowane przeciwko ukraińskim celom wraz z godnymi uwagi zagrożeniami, takimi jak Industroyer2 . To złośliwe oprogramowanie oparte na języku C zawiera funkcję samousuwania, która nadpisuje się na dysku na początku działania, wdrażając jednocześnie alternatywne metody czyszczenia w zależności od typu urządzenia.
AcidPour powiązano z grupą hakerską sprzymierzoną z Rosją
Uważa się, że AcidPour został wdrożony przez grupę hakerską zidentyfikowaną jako UAC-0165, która jest powiązana z Sandworm i ma historię ataków na infrastrukturę krytyczną na Ukrainie.
W październiku 2023 r. ukraiński zespół reagowania na incydenty komputerowe (CERT-UA) wplątał tego przeciwnika w ataki na co najmniej 11 dostawców usług telekomunikacyjnych w kraju w okresie od maja do września poprzedniego roku. Podczas tych ataków mogło zostać użyte AcidPour, co sugeruje konsekwentne używanie narzędzi związanych z AcidRain/AcidPour przez cały czas trwania konfliktu.
W celu dalszego wzmocnienia powiązania z Sandworm, ugrupowanie zagrażające znane jako Solntsepyok (nazywane również Solntsepek lub SolntsepekZ) przyznało się do infiltracji czterech ukraińskich operatorów telekomunikacyjnych i zakłócania ich usług w dniu 13 marca 2024 r., zaledwie trzy dni przed odkryciem AcidPour.
Według Państwowej Specjalnej Służby Łączności Ukrainy (SSSCIP) Solntsepyok to rosyjskie zaawansowane trwałe zagrożenie (APT) prawdopodobnie powiązane z Główną Dyrekcją Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU), która nadzoruje Sandworm.
Warto zauważyć, że Solntsepyok został również oskarżony o włamanie do systemów Kyivstar już w maju 2023 r., a naruszenie wyszło na jaw pod koniec grudnia tego roku.
Chociaż nie jest pewne, czy w ostatniej fali ataków wykorzystano AcidPour, odkrycie sugeruje, że ugrupowania zagrażające stale udoskonalają swoje taktyki, aby przeprowadzać niszczycielskie ataki i powodować znaczne zakłócenia operacyjne.
Ewolucja ta nie tylko uwypukla wzrost możliwości technicznych tych podmiotów zagrażających, ale także podkreśla ich strategiczne podejście do wyboru celów w celu wzmocnienia efektu domina, zakłócając w ten sposób krytyczną infrastrukturę i komunikację.
