AcidPour Wiper

Претећи софтвер познат као АцидПоур потенцијално је коришћен у нападима усмереним на четири телекомуникациона провајдера у Украјини. Стручњаци за сајбер безбедност идентификовали су везе између овог малвера и АцидРаин-а , повезујући га са операцијама претњи које су повезане са руским војним обавештајним службама. АцидПоур се може похвалити побољшаним функционалностима, што га чини способним за онеспособљавање различитих уграђених уређаја као што су мрежна опрема, Интернет оф Тхингс (ИоТ) уређаји, велики системи за складиштење података (РАИДс) и потенцијално индустријски контролни системи (ИЦС) који раде на Линук к86 дистрибуцијама.

Посебно, АцидПоур је дериват АцидРаин-а, брисача који је првобитно коришћен за саботирање Виасат КА-САТ модема током раних фаза руско-украјинског сукоба 2022. године, ометајући украјинске војне комуникационе мреже.

AcidPour Wiper је опремљен проширеним скупом интрузивних могућности

Малвер АцидПоур проширује могућности свог претходника тако што посебно циља на Линук системе који раде на к86 архитектури. Насупрот томе, АцидРаин је скројен за МИПС архитектуру. Док је АцидРаин био више генеричке природе, АцидПоур укључује специјализовану логику за циљање на уграђене уређаје, мреже за складиштење података (САН), уређаје за складиштење података (НАС) и наменске РАИД низове.

Ипак, обе варијанте деле заједничке карактеристике у коришћењу позива за поновно покретање и рекурзивних метода брисања директоријума. Они такође користе механизам за брисање уређаја заснован на ИОЦТЛ-овима, који личи на други малвер повезан са Сандворм-ом познатим као ВПНФилтер .

Један интригантан аспект АцидПоур-а је његов стил кодирања, који подсећа на практичан малвер ЦаддиВипер , који се нашироко користи против украјинских циљева заједно са значајним претњама као што је Индустроиер2 . Овај злонамерни софтвер базиран на Ц-у укључује функцију самобрисања која се преписује на диск на почетку извршавања, истовремено имплементирајући алтернативне приступе брисања у зависности од типа уређаја.

АцидПоур је повезан са руском хакерском групом

Верује се да је АцидПоур распоређена од стране хакерске групе идентификоване као УАЦ-0165, која је повезана са Сандвормом и има историју циљања на критичну инфраструктуру у Украјини.

У октобру 2023. Тим за компјутерске хитне случајеве Украјине (ЦЕРТ-УА) умешао је овог противника у нападе на најмање 11 провајдера телекомуникационих услуга у земљи између маја и септембра претходне године. АцидПоур је можда коришћен током ових напада, што сугерише доследну употребу алата везаних за АцидРаин/АцидПоур током целог сукоба.

Даље појачавајући везу са Сандвормом, актер претње познат као Солнтсепек (који се такође назива Солнтсепек или СолнтсепекЗ) преузео је одговорност за инфилтрацију четири украјинска телекомуникациона оператера и ометање њихових услуга 13. марта 2024, само три дана пре открића АцидПоур-а.

Према Државној служби за специјалне комуникације Украјине (СССЦИП), Солнцепјок је руска напредна трајна претња (АПТ) са вероватним везама са Главном управом Генералштаба Оружаних снага Руске Федерације (ГРУ), која надгледа Сандворм.

Вреди напоменути да је Солнцепјок такође оптужен за провалу система Киивстар-а већ у мају 2023. године, а пробој је изашао на видело крајем децембра те године.

Иако остаје неизвесно да ли је АцидПоур коришћен у последњем таласу напада, његово откриће сугерише да актери претњи непрестано усавршавају своје тактике како би извршили деструктивне нападе и изазвали значајне оперативне поремећаје.

Ова еволуција не само да наглашава побољшање техничких способности ових актера претњи, већ и наглашава њихов стратешки приступ у одабиру циљева за појачавање ефеката таласања, чиме се нарушава критична инфраструктура и комуникације.