AcidPour Wiper
Një softuer kërcënues i njohur si AcidPour është përdorur potencialisht në sulmet që synojnë katër ofrues të telekomunikacionit në Ukrainë. Ekspertët e sigurisë kibernetike kanë identifikuar lidhjet midis këtij malware dhe AcidRain , duke e lidhur atë me operacione kërcënimi të lidhura me inteligjencën ushtarake ruse. AcidPour krenohet me funksionalitete të përmirësuara, duke e bërë atë të aftë për të paaftësuar pajisje të ndryshme të integruara si pajisjet e rrjetit, pajisjet e Internetit të Gjërave (IoT), sistemet e mëdha të ruajtjes (RAIDs) dhe Sistemet e Kontrollit Industrial (ICS) që funksionojnë në shpërndarjet Linux x86.
Veçanërisht, AcidPour është një derivat i AcidRain, një fshirëse e përdorur fillimisht për të sabotuar modemet Viasat KA-SAT gjatë fazave të hershme të konfliktit ruso-ukrainas në 2022, duke ndërprerë rrjetet e komunikimit ushtarak të Ukrainës.
AcidPour është i pajisur me një grup të zgjeruar të aftësive ndërhyrëse
Malware AcidPour zgjeron aftësitë e paraardhësit të tij duke synuar në mënyrë specifike sistemet Linux që funksionojnë në arkitekturën x86. Në të kundërt, AcidRain është përshtatur për arkitekturën MIPS. Ndërsa AcidRain ishte më i përgjithshëm në natyrë, AcidPour përfshin logjikë të specializuar për të synuar pajisjet e integruara, Rrjetet e zonës së ruajtjes (SAN), pajisjet e ruajtjes së bashkangjitur në rrjet (NAS) dhe grupet e dedikuara RAID.
Sidoqoftë, të dy variantet ndajnë të përbashkëta në përdorimin e thirrjeve të rindezjes dhe metodave rekursive të fshirjes së drejtorive. Ata përdorin gjithashtu një mekanizëm të fshirjes së pajisjes bazuar në IOCTL, i cili ka një ngjashmëri me një tjetër malware të lidhur me Sandworm i njohur si VPNFilter .
Një aspekt intrigues i AcidPour është stili i tij i kodimit, që të kujton malware-in praktik CaddyWiper , i cili është përdorur gjerësisht kundër objektivave ukrainas krahas kërcënimeve të dukshme si Industroyer2 . Ky malware i bazuar në C përfshin një funksion të vetë-fshirjes që mbishkruhet në disk në fillim të ekzekutimit, ndërsa zbaton gjithashtu qasje alternative të fshirjes në varësi të llojit të pajisjes.
AcidPour ka qenë i lidhur me një grup hakerash të lidhur me Rusinë
AcidPour besohet të jetë vendosur nga një grup hakerimi i identifikuar si UAC-0165, i cili është i lidhur me Sandworm dhe ka një histori të shënjestruar të infrastrukturës kritike në Ukrainë.
Në tetor 2023, Ekipi i Reagimit ndaj Emergjencave Kompjuterike të Ukrainës (CERT-UA) e implikoi këtë kundërshtar në sulmet kundër të paktën 11 ofruesve të shërbimeve të telekomunikacionit në vend midis majit dhe shtatorit të vitit të kaluar. AcidPour mund të jetë përdorur gjatë këtyre sulmeve, duke sugjeruar një përdorim të vazhdueshëm të mjeteve të lidhura me AcidRain/AcidPour gjatë gjithë konfliktit.
Duke përforcuar më tej lidhjen me Sandworm, një aktor kërcënimi i njohur si Solntsepyok (i referuar gjithashtu si Solntsepek ose SolntsepekZ) mori përgjegjësinë për infiltrimin e katër operatorëve të telekomunikacionit ukrainas dhe ndërprerjen e shërbimeve të tyre më 13 mars 2024, vetëm tre ditë para zbulimit të AcidPour.
Sipas Shërbimit Shtetëror të Komunikimeve Speciale të Ukrainës (SSSCIP), Solntsepyok është një Kërcënim i Përparuar i Përhershëm Rus (APT) me lidhje të mundshme me Drejtorinë kryesore të Shtabit të Përgjithshëm të Forcave të Armatosura të Federatës Ruse (GRU), e cila mbikëqyr Krimbin e rërës.
Vlen të përmendet se Solntsepyok u akuzua gjithashtu për shkelje të sistemeve të Kyivstar që në maj 2023, me shkeljen që doli në dritë në fund të dhjetorit të atij viti.
Ndërsa mbetet e pasigurt nëse AcidPour është përdorur në valën më të fundit të sulmeve, zbulimi i tij sugjeron që aktorët e kërcënimit po përmirësojnë vazhdimisht taktikat e tyre për të ekzekutuar sulme shkatërruese dhe për të shkaktuar ndërprerje të konsiderueshme operacionale.
Ky evolucion jo vetëm që thekson një përmirësim në aftësitë teknike të këtyre aktorëve të kërcënimit, por gjithashtu nënvizon qasjen e tyre strategjike në përzgjedhjen e objektivave për të përforcuar efektet e valëzimit, duke ndërprerë kështu infrastrukturën dhe komunikimet kritike.
