AcidPour Wiper

Hrozivý softvér známy ako AcidPour bol potenciálne použitý pri útokoch zameraných na štyroch telekomunikačných poskytovateľov na Ukrajine. Experti na kybernetickú bezpečnosť identifikovali prepojenie medzi týmto malvérom a AcidRain a spojili ho s operáciami s hrozbami spojenými s ruskou vojenskou rozviedkou. AcidPour sa môže pochváliť vylepšenými funkciami, vďaka ktorým je schopný znefunkčniť rôzne vstavané zariadenia, ako sú sieťové zariadenia, zariadenia internetu vecí (IoT), veľké úložné systémy (RAID) a potenciálne priemyselné riadiace systémy (ICS) bežiace na distribúciách Linux x86.

AcidPour je derivátom AcidRain, stierača pôvodne používaného na sabotáž modemov Viasat KA-SAT počas raných štádií rusko-ukrajinského konfliktu v roku 2022, čím sa narušili ukrajinské vojenské komunikačné siete.

AcidPour je vybavený rozšírenou sadou rušivých schopností

Malvér AcidPour rozširuje možnosti svojho predchodcu špecificky zameraným na systémy Linux pracujúce na architektúre x86. Naproti tomu AcidRain je prispôsobený architektúre MIPS. Zatiaľ čo AcidRain bol všeobecnejšej povahy, AcidPour zahŕňa špecializovanú logiku na zacielenie na vstavané zariadenia, siete SAN (Storage Area Network), zariadenia NAS (Network Attached Storage) a vyhradené polia RAID.

Napriek tomu oba varianty zdieľajú spoločné črty v používaní rebootovacích volaní a metód rekurzívneho vymazania adresára. Využívajú tiež mechanizmus vymazávania zariadení založený na IOCTL, ktorý sa podobá na iný malvér spojený s Sandworm známy ako VPNFilter .

Jedným zo zaujímavých aspektov AcidPour je jeho štýl kódovania, ktorý pripomína praktický malvér CaddyWiper , ktorý bol široko používaný proti ukrajinským cieľom spolu s významnými hrozbami, ako je Industroyer2 . Tento malvér založený na jazyku C obsahuje funkciu samoodstránenia, ktorá sa na začiatku vykonávania prepíše na disk a zároveň implementuje alternatívne prístupy k vymazaniu v závislosti od typu zariadenia.

AcidPour bol prepojený s ruskou hackerskou skupinou

Predpokladá sa, že AcidPour bol nasadený hackerskou skupinou identifikovanou ako UAC-0165, ktorá je pridružená k Sandworm a má históriu zameriavania sa na kritickú infraštruktúru na Ukrajine.

V októbri 2023 tím pre počítačovú núdzovú reakciu Ukrajiny (CERT-UA) zapojil tohto protivníka do útokov proti najmenej 11 poskytovateľom telekomunikačných služieb v krajine v období od mája do septembra predchádzajúceho roka. AcidPour mohol byť použitý počas týchto útokov, čo naznačuje konzistentné používanie nástrojov súvisiacich s AcidRain/AcidPour počas celého konfliktu.

Ďalším posilňovaním spojenia so Sandwormom sa aktér hrozby známy ako Solntsepyok (tiež označovaný ako Solntsepek alebo SolntsepekZ) prihlásil k zodpovednosti za infiltráciu štyroch ukrajinských telekomunikačných operátorov a narušenie ich služieb 13. marca 2024, len tri dni pred objavením AcidPour.

Podľa Štátnej špeciálnej komunikačnej služby Ukrajiny (SSSCIP) je Solntsepyok ruskou pokročilou perzistentnou hrozbou (APT) s pravdepodobnými väzbami na Hlavné riaditeľstvo Generálneho štábu Ozbrojených síl Ruskej federácie (GRU), ktoré dohliada na Sandworm.

Stojí za zmienku, že Solntsepyok bol tiež obvinený z porušenia systémov spoločnosti Kyivstar už v máji 2023, pričom porušenie vyšlo najavo koncom decembra toho istého roku.

Aj keď zostáva neisté, či bol AcidPour použitý v poslednej vlne útokov, jeho objav naznačuje, že aktéri hrozieb neustále zdokonaľujú svoje taktiky, aby vykonali deštruktívne útoky a spôsobili významné prevádzkové poruchy.

Tento vývoj nielenže zdôrazňuje zlepšenie technických schopností týchto aktérov hrozieb, ale tiež podčiarkuje ich strategický prístup pri výbere cieľov na zosilnenie efektov zvlnenia, čím sa naruší kritická infraštruktúra a komunikácia.