AcidPour Wiper

Угрожающее программное обеспечение, известное как AcidPour, потенциально использовалось в атаках на четырех операторов связи в Украине. Эксперты по кибербезопасности выявили связь между этим вредоносным ПО и AcidRain , связав его с операциями по угрозам, связанными с российской военной разведкой. AcidPour может похвастаться расширенными функциональными возможностями, что позволяет ему выводить из строя различные встроенные устройства, такие как сетевое оборудование, устройства Интернета вещей (IoT), большие системы хранения данных (RAID) и, возможно, промышленные системы управления (ICS), работающие на дистрибутивах Linux x86.

Примечательно, что AcidPour является производной от AcidRain, программы Wiper, первоначально использовавшейся для саботажа модемов Viasat KA-SAT на ранних стадиях российско-украинского конфликта в 2022 году, нарушая работу военных сетей связи Украины.

AcidPour оснащен расширенным набором интрузивных возможностей

Вредоносная программа AcidPour расширяет возможности своего предшественника, специально нацеливаясь на системы Linux, работающие на архитектуре x86. AcidRain, напротив, адаптирован для архитектуры MIPS. Хотя AcidRain по своей природе был более универсальным, AcidPour включает специализированную логику для работы со встроенными устройствами, сетями хранения данных (SAN), устройствами сетевого хранения данных (NAS) и выделенными RAID-массивами.

Тем не менее, оба варианта имеют общие черты в использовании вызовов перезагрузки и рекурсивных методов очистки каталогов. Они также используют механизм очистки устройств, основанный на IOCTL, который имеет сходство с другим вредоносным ПО, связанным с Sandworm , известным как VPNFilter .

Одним из интригующих аспектов AcidPour является стиль написания кода, напоминающий практическую вредоносную программу CaddyWiper , которая широко использовалась против украинских целей наряду с такими заметными угрозами, как Industroyer2 . Это вредоносное ПО на базе C включает функцию самоудаления, которая перезаписывает себя на диске в начале выполнения, а также реализует альтернативные подходы к очистке в зависимости от типа устройства.

AcidPour связана с хакерской группой, связанной с Россией

Предполагается, что AcidPour был развернут хакерской группой UAC-0165, которая связана с Sandworm и имеет опыт атак на критическую инфраструктуру в Украине.

В октябре 2023 года Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) обвинила этого злоумышленника в атаках как минимум на 11 провайдеров телекоммуникационных услуг в стране в период с мая по сентябрь прошлого года. Во время этих атак могла использоваться программа AcidPour, что позволяет предположить последовательное использование инструментов, связанных с AcidRain/AcidPour, на протяжении всего конфликта.

Еще больше усилив связь с Sandworm, злоумышленник, известный как Солнцепек (также известный как Солнцепек или СолнцепекZ), взял на себя ответственность за проникновение на четырех украинских операторов связи и нарушение их работы 13 марта 2024 года, всего за три дня до обнаружения AcidPour.

По данным Государственной службы специальной связи Украины (ГССЦИП), «Солнцепёк» — это российская усовершенствованная стойкая угроза (АПТ), вероятнее всего связанная с Главным управлением Генерального штаба Вооружённых Сил Российской Федерации (ГРУ), которое курирует «Песчаного червя».

Стоит отметить, что Солнцепёк также был обвинен во взломе систем «Киевстар» ещё в мае 2023 года, а о взломе стало известно в конце декабря того же года.

Хотя остается неясным, использовался ли AcidPour в последней волне атак, его открытие позволяет предположить, что злоумышленники постоянно совершенствуют свою тактику для проведения разрушительных атак и создания значительных сбоев в работе.

Эта эволюция не только подчеркивает улучшение технических возможностей этих субъектов угроз, но также подчеркивает их стратегический подход к выбору целей для усиления волнового эффекта, тем самым нарушая критическую инфраструктуру и коммуникации.