AcidPour Wiper

Un software amenințător cunoscut sub numele de AcidPour a fost potențial utilizat în atacuri care vizează patru furnizori de telecomunicații din Ucraina. Experții în securitate cibernetică au identificat legături între acest malware și AcidRain , legându-l cu operațiunile de amenințare asociate cu informațiile militare rusești. AcidPour se mândrește cu funcționalități îmbunătățite, făcându-l abil în incapacitatea diferitelor dispozitive încorporate, cum ar fi echipamente de rețea, dispozitive Internet of Things (IoT), sisteme mari de stocare (RAID) și, potențial, sisteme de control industrial (ICS) care rulează pe distribuții Linux x86.

În special, AcidPour este un derivat al AcidRain, un ștergător folosit inițial pentru a sabota modemurile Viasat KA-SAT în primele etape ale conflictului ruso-ucrainean din 2022, perturbând rețelele militare de comunicații ale Ucrainei.

AcidPour este echipat cu un set extins de capabilități intruzive

Malware-ul AcidPour extinde capacitățile predecesorului său țintind în mod specific sistemele Linux care operează pe arhitectura x86. În contrast, AcidRain este adaptat pentru arhitectura MIPS. În timp ce AcidRain era de natură mai generică, AcidPour încorporează o logică specializată pentru a viza dispozitivele încorporate, rețelele de stocare (SAN), dispozitivele de stocare atașată la rețea (NAS) și matricele RAID dedicate.

Cu toate acestea, ambele variante au puncte comune în utilizarea apelurilor de repornire și a metodelor recursive de ștergere a directoarelor. Ei folosesc, de asemenea, un mecanism de ștergere a dispozitivului bazat pe IOCTL, care are o asemănare cu un alt malware asociat cu Sandworm cunoscut sub numele de VPNFilter .

Un aspect intrigant al AcidPour este stilul său de codare, care amintește de programul malware practic CaddyWiper , care a fost utilizat pe scară largă împotriva țintelor ucrainene alături de amenințări notabile precum Industroyer2 . Acest malware bazat pe C include o funcție de auto-ștergere care se suprascrie pe disc la începutul execuției, implementând și abordări alternative de ștergere în funcție de tipul de dispozitiv.

AcidPour a fost legat de un grup de hacking aliniat cu Rusia

Se crede că AcidPour a fost desfășurat de un grup de hacking identificat ca UAC-0165, care este afiliat Sandworm și are o istorie de a viza infrastructura critică din Ucraina.

În octombrie 2023, Computer Emergency Response Team of Ukraine (CERT-UA) a implicat acest adversar în atacuri împotriva a cel puțin 11 furnizori de servicii de telecomunicații din țară în perioada mai-septembrie a anului precedent. Este posibil ca AcidPour să fi fost folosit în timpul acestor atacuri, ceea ce sugerează o utilizare consecventă a instrumentelor legate de AcidRain/AcidPour pe tot parcursul conflictului.

Consolidând și mai mult conexiunea cu Sandworm, un actor de amenințare cunoscut sub numele de Solntsepyok (numit și Solntsepyk sau SolntepekZ) și-a revendicat responsabilitatea pentru infiltrarea a patru operatori de telecomunicații ucraineni și întreruperea serviciilor lor pe 13 martie 2024, cu doar trei zile înainte de descoperirea AcidPour.

Potrivit Serviciului de Comunicații Speciale de Stat al Ucrainei (SSSCIP), Solntsepyok este o Amenințare Persistentă Avansată a Rusiei (APT) cu legături probabile cu Direcția Principală a Statului Major General al Forțelor Armate ale Federației Ruse (GRU), care supraveghează Sandworm.

Merită remarcat faptul că Solntsepyok a fost acuzat și că a încălcat sistemele Kyivstar încă din mai 2023, încălcarea ieșind la iveală la sfârșitul lunii decembrie a acelui an.

Deși rămâne incert dacă AcidPour a fost utilizat în cel mai recent val de atacuri, descoperirea sa sugerează că actorii amenințărilor își perfecționează continuu tacticile pentru a executa atacuri distructive și pentru a provoca întreruperi operaționale semnificative.

Această evoluție nu numai că evidențiază o îmbunătățire a capacităților tehnice ale acestor actori amenințări, dar subliniază și abordarea lor strategică în selectarea țintelor pentru a amplifica efectele undă, perturbând astfel infrastructura critică și comunicațiile.