AcidPour Wiper

En hotfull programvara känd som AcidPour har potentiellt använts i attacker riktade mot fyra telekommunikationsleverantörer i Ukraina. Cybersäkerhetsexperter har identifierat kopplingar mellan detta skadliga program och AcidRain , vilket kopplar det till hotoperationer i samband med rysk militär underrättelsetjänst. AcidPour har förbättrade funktionaliteter, vilket gör det skickligt på att inaktivera olika inbäddade enheter som nätverksutrustning, Internet of Things (IoT)-enheter, stora lagringssystem (RAID) och potentiellt Industrial Control Systems (ICS) som körs på Linux x86-distributioner.

Noterbart är att AcidPour är ett derivat av AcidRain, en torkare som ursprungligen användes för att sabotera Viasat KA-SAT-modem under de tidiga stadierna av den rysk-ukrainska konflikten 2022, vilket störde Ukrainas militära kommunikationsnätverk.

AcidPour är utrustad med en utökad uppsättning påträngande funktioner

AcidPour skadlig programvara utökar sin föregångares kapacitet genom att specifikt rikta in sig på Linux-system som arbetar med x86-arkitektur. Däremot är AcidRain skräddarsydd för MIPS-arkitektur. Medan AcidRain var mer generisk till sin natur, innehåller AcidPour specialiserad logik för att rikta in sig på inbäddade enheter, Storage Area Networks (SAN), Network Attached Storage (NAS) apparater och dedikerade RAID-arrayer.

Ändå delar båda varianterna gemensamma drag i användningen av omstartssamtal och rekursiva metoder för att radera kataloger. De använder också en enhetsborttagningsmekanism baserad på IOCTLs, som liknar en annan skadlig kod som är associerad med Sandworm , känd som VPNFilter .

En spännande aspekt av AcidPour är dess kodningsstil, som påminner om den praktiska CaddyWiper malware, som har använts flitigt mot ukrainska mål tillsammans med anmärkningsvärda hot som Industroyer2 . Den här C-baserade skadliga programvaran inkluderar en självraderingsfunktion som skriver över sig själv på disken i början av körningen samtidigt som alternativa raderingsmetoder implementeras beroende på typ av enhet.

AcidPour har kopplats till en rysk-allinerad hackinggrupp

AcidPour tros ha distribuerats av en hackergrupp identifierad som UAC-0165, som är ansluten till Sandworm och har en historia av att rikta in sig på kritisk infrastruktur i Ukraina.

I oktober 2023 inblandade Ukrainas datornödteam (CERT-UA) denna motståndare i attacker mot minst 11 leverantörer av telekommunikationstjänster i landet mellan maj och september föregående år. AcidPour kan ha använts under dessa attacker, vilket tyder på en konsekvent användning av AcidRain/AcidPour-relaterade verktyg under hela konflikten.

För att ytterligare förstärka kopplingen till Sandworm tog en hotaktör känd som Solntsepyok (även kallad Solntsepek eller SolntsepekZ) på sig ansvaret för att ha infiltrerat fyra ukrainska telekommunikationsoperatörer och stört deras tjänster den 13 mars 2024, bara tre dagar innan upptäckten av AcidPour.

Enligt Ukrainas statliga specialkommunikationstjänst (SSSCIP) är Solntsepyok ett ryskt avancerat ihållande hot (APT) med troliga band till huvuddirektoratet för generalstaben för Ryska federationens väpnade styrkor (GRU), som övervakar Sandworm.

Det är värt att notera att Solntsepyok också anklagades för att ha brutit mot Kyivstars system så tidigt som i maj 2023, med intrånget som uppdagades i slutet av december samma år.

Även om det fortfarande är osäkert om AcidPour användes i den senaste vågen av attacker, tyder dess upptäckt på att hotaktörer kontinuerligt förfinar sin taktik för att utföra destruktiva angrepp och orsaka betydande driftstörningar.

Denna utveckling belyser inte bara en förbättring av den tekniska kapaciteten hos dessa hotaktörer utan understryker också deras strategiska tillvägagångssätt för att välja mål för att förstärka ringeffekterna och därigenom störa kritisk infrastruktur och kommunikation.