AcidPour Wiper

Um software ameaçador conhecido como AcidPour foi potencialmente utilizado em ataques dirigidos a quatro provedores de telecomunicações na Ucrânia. Especialistas em segurança cibernética identificaram ligações entre este malware e o AcidRain, vinculando-o a operações de ameaça associadas à inteligência militar russa. AcidPour possui funcionalidades aprimoradas, tornando-o apto a incapacitar vários dispositivos embarcados, como equipamentos de rede, dispositivos de Internet das Coisas (IoT), grandes sistemas de armazenamento (RAIDs) e potencialmente sistemas de controle industrial (ICS) executados em distribuições Linux x86.

Notavelmente, AcidPour é um derivado do AcidRain, um limpador inicialmente empregado para sabotar modems Viasat KA-SAT durante os estágios iniciais do conflito russo-ucraniano em 2022, interrompendo as redes de comunicação militar da Ucrânia.

O AcidPour está Equipado com um Conjunto Expandido de Recursos Intrusivos

O malware AcidPour expande as capacidades do seu antecessor, visando especificamente sistemas Linux que operam na arquitetura x86. Por outro lado, AcidRain é adaptado para a arquitetura MIPS. Embora AcidRain fosse de natureza mais genérica, AcidPour incorpora lógica especializada para direcionar dispositivos incorporados, redes de área de armazenamento (SANs), dispositivos Network Attached Storage (NAS) e matrizes RAID dedicadas.

No entanto, ambas as variantes compartilham pontos em comum na utilização de chamadas de reinicialização e métodos recursivos de limpeza de diretório. Eles também empregam um mecanismo de limpeza de dispositivos baseado em IOCTLs, que se assemelha a outro malware associado ao Sandworm, conhecido como VPNFilter.

Um aspecto intrigante do AcidPour é o seu estilo de codificação, que lembra o prático malware CaddyWiper, que tem sido amplamente utilizado contra alvos ucranianos, juntamente com ameaças notáveis como o Industroye r 2. Este malware baseado em C inclui uma função de autoexclusão que se sobrescreve no disco no início da execução, ao mesmo tempo que implementa abordagens alternativas de limpeza, dependendo do tipo de dispositivo.

O AcidPour foi Vinculado a um Grupo de Hackers Localizado na Rússia

Acredita-se que o AcidPour tenha sido implantado por um grupo de hackers identificado como UAC-0165, que é afiliado ao Sandworm e tem um histórico de atingir infraestruturas críticas na Ucrânia.

Em Outubro de 2023, a Equipa de Resposta a Emergências Informáticas da Ucrânia (CERT-UA) implicou este adversário em ataques contra pelo menos 11 prestadores de serviços de telecomunicações no país entre Maio e Setembro do ano anterior. O AcidPour pode ter sido empregado durante esses ataques, sugerindo um uso consistente de ferramentas relacionadas ao AcidRain/AcidPour durante todo o conflito.

Reforçando ainda mais a conexão com o Sandworm, um ator de ameaça conhecido como Solntsepyok (também conhecido como Solntsepek ou SolntsepekZ) assumiu a responsabilidade pela infiltração de quatro operadoras de telecomunicações ucranianas e pela interrupção de seus serviços em 13 de março de 2024, apenas três dias antes da descoberta do AcidPour.

De acordo com o Serviço Estatal de Comunicações Especiais da Ucrânia (SSSCIP), Solntsepyok é uma Ameaça Persistente Avançada Russa (APT) com prováveis ligações com a Direção Principal do Estado-Maior General das Forças Armadas da Federação Russa (GRU), que supervisiona o Sandworm.

É importante notar que Solntsepyok também foi acusado de violar os sistemas da Kyivstar já em maio de 2023, com a violação vindo à tona no final de dezembro daquele ano.

Embora ainda não se saiba se o AcidPour foi utilizado na mais recente vaga de ataques, a sua descoberta sugere que os agentes da ameaça estão continuamente a aperfeiçoar as suas tácticas para executar ataques destrutivos e causar perturbações operacionais significativas.

Esta evolução não só destaca uma melhoria nas capacidades técnicas destes actores de ameaças, mas também sublinha a sua abordagem estratégica na selecção de alvos para amplificar os efeitos em cascata, perturbando assim infra-estruturas e comunicações críticas.