AcidPour Wiper
Nevarna programska oprema, znana kot AcidPour, je bila potencialno uporabljena v napadih, namenjenih štirim ponudnikom telekomunikacij v Ukrajini. Strokovnjaki za kibernetsko varnost so odkrili povezave med to zlonamerno programsko opremo in AcidRain ter jo povezali z operacijami groženj, povezanih z rusko vojaško obveščevalno službo. AcidPour se ponaša z izboljšanimi funkcionalnostmi, zaradi česar je spreten pri onesposobitvi različnih vgrajenih naprav, kot so omrežna oprema, naprave interneta stvari (IoT), veliki sistemi za shranjevanje (RAID) in potencialno industrijski nadzorni sistemi (ICS), ki se izvajajo v distribucijah Linux x86.
Predvsem je AcidPour izpeljanka AcidRain, brisalca, ki je bil prvotno uporabljen za sabotažo modemov Viasat KA-SAT v zgodnjih fazah rusko-ukrajinskega konflikta leta 2022, kar je motilo vojaška komunikacijska omrežja Ukrajine.
AcidPour je opremljen z razširjenim naborom vsiljivih zmogljivosti
Zlonamerna programska oprema AcidPour razširja zmožnosti svojega predhodnika tako, da posebej cilja na sisteme Linux, ki delujejo na arhitekturi x86. V nasprotju s tem je AcidRain prilagojen za arhitekturo MIPS. Medtem ko je bil AcidRain bolj splošne narave, AcidPour vključuje specializirano logiko za ciljanje vgrajenih naprav, omrežij za shranjevanje podatkov (SAN), naprav za omrežno priključeno shranjevanje (NAS) in namenskih polj RAID.
Kljub temu imata obe različici skupne značilnosti pri uporabi klicev za ponovni zagon in metod rekurzivnega brisanja imenika. Uporabljajo tudi mehanizem za brisanje naprav, ki temelji na IOCTL, ki je podoben drugi zlonamerni programski opremi, povezani s Sandwormom , znani kot VPNFilter .
En zanimiv vidik AcidPour je njegov stil kodiranja, ki spominja na praktično zlonamerno programsko opremo CaddyWiper , ki se pogosto uporablja proti ukrajinskim tarčam poleg pomembnih groženj, kot je Industroyer2 . Ta zlonamerna programska oprema, ki temelji na C, vključuje funkcijo samoizbrisa, ki se na začetku izvajanja prepiše na disk, hkrati pa izvaja alternativne pristope brisanja, odvisno od vrste naprave.
AcidPour je bil povezan z rusko hekersko skupino
AcidPour naj bi uvedla hekerska skupina, identificirana kot UAC-0165, ki je povezana s Sandwormom in ima zgodovino ciljanja na kritično infrastrukturo v Ukrajini.
Oktobra 2023 je Ukrajinska ekipa za odzivanje na računalniške nujne primere (CERT-UA) tega nasprotnika vpletla v napade na najmanj 11 ponudnikov telekomunikacijskih storitev v državi med majem in septembrom prejšnjega leta. Med temi napadi je bil morda uporabljen AcidPour, kar kaže na dosledno uporabo orodij, povezanih z AcidRain/AcidPour, skozi ves konflikt.
Nadaljnja krepitev povezave s Sandwormom je akter grožnje, znan kot Solntsepyok (imenovan tudi Solntsepek ali SolntsepekZ), ki je 13. marca 2024, le tri dni pred odkritjem AcidPour, prevzel odgovornost za infiltracijo v štiri ukrajinske telekomunikacijske operaterje in motnje njihovih storitev.
Po podatkih Državne službe za posebne komunikacije Ukrajine (SSSCIP) je Solntsepyok ruska napredna trajna grožnja (APT) z verjetno povezavami z Glavnim direktoratom generalštaba oboroženih sil Ruske federacije (GRU), ki nadzira Sandworm.
Omeniti velja, da je bil Solntsepyok tudi obtožen vdora v sisteme Kyivstarja že maja 2023, kršitev pa je prišla na dan konec decembra istega leta.
Čeprav ostaja negotovo, ali je bil AcidPour uporabljen v najnovejšem valu napadov, njegovo odkritje nakazuje, da akterji groženj nenehno izpopolnjujejo svoje taktike za izvajanje uničujočih napadov in povzročanje znatnih motenj delovanja.
Ta razvoj ne poudarja samo izboljšanja tehničnih zmogljivosti teh akterjev groženj, temveč poudarja tudi njihov strateški pristop pri izbiri ciljev za povečanje učinkov valovanja, s čimer se moti kritična infrastruktura in komunikacije.
