AcidPour Wiper
Ang isang nagbabantang software na kilala bilang AcidPour ay potensyal na nagamit sa mga pag-atake na naglalayong apat na provider ng telekomunikasyon sa Ukraine. Natukoy ng mga eksperto sa cybersecurity ang mga kaugnayan sa pagitan ng malware na ito at AcidRain , na nag-uugnay dito sa mga operasyong pagbabanta na nauugnay sa Russian military intelligence. Ipinagmamalaki ng AcidPour ang mga pinahusay na functionality, na ginagawa itong sanay sa pag-incapacitate ng iba't ibang naka-embed na device tulad ng networking equipment, Internet of Things (IoT) device, malalaking storage system (RAIDs), at potensyal na Industrial Control Systems (ICS) na tumatakbo sa Linux x86 distributions.
Kapansin-pansin, ang AcidPour ay isang derivative ng AcidRain, isang wiper na unang ginamit upang sabotahe ang mga modem ng Viasat KA-SAT sa mga unang yugto ng labanang Russo-Ukrainian noong 2022, na nakakagambala sa mga network ng komunikasyong militar ng Ukraine.
Ang AcidPour ay Nilagyan ng Pinalawak na Hanay ng Mga Mapanghimasok na Kakayahang
Lumalawak ang AcidPour malware sa mga kakayahan ng hinalinhan nito sa pamamagitan ng partikular na pag-target sa mga Linux system na tumatakbo sa x86 architecture. Sa kabaligtaran, ang AcidRain ay iniakma para sa arkitektura ng MIPS. Bagama't mas generic ang AcidRain, isinasama ng AcidPour ang espesyal na lohika para i-target ang mga naka-embed na device, Storage Area Networks (SANs), Network Attached Storage (NAS) appliances, at dedikadong RAID arrays.
Gayunpaman, ang parehong mga variant ay nagbabahagi ng pagkakapareho sa kanilang paggamit ng mga reboot na tawag at recursive directory-wiping method. Gumagamit din sila ng mekanismo ng pagpupunas ng device batay sa mga IOCTL, na may pagkakahawig sa isa pang malware na nauugnay sa Sandworm na kilala bilang VPNFilter .
Ang isang nakakaintriga na aspeto ng AcidPour ay ang istilo ng coding nito, na nakapagpapaalaala sa praktikal na CaddyWiper malware, na malawakang ginagamit laban sa mga target na Ukrainian kasama ng mga kapansin-pansing banta tulad ng Industroyer2 . Ang C-based na malware na ito ay may kasamang self-delete function na nag-o-overwrite sa sarili nito sa disk sa simula ng execution habang nagpapatupad din ng mga alternatibong paraan ng pag-wipe depende sa uri ng device.
Ang AcidPour ay Na-link sa isang Russian-Aligned Hacking Group
Ang AcidPour ay pinaniniwalaang na-deploy ng isang hacking group na kinilala bilang UAC-0165, na kaakibat ng Sandworm at may kasaysayan ng pag-target sa mga kritikal na imprastraktura sa Ukraine.
Noong Oktubre 2023, idinawit ng Computer Emergency Response Team ng Ukraine (CERT-UA) ang kalaban na ito sa mga pag-atake laban sa hindi bababa sa 11 telecommunication service provider sa bansa sa pagitan ng Mayo at Setyembre ng nakaraang taon. Maaaring ginamit ang AcidPour sa panahon ng mga pag-atakeng ito, na nagmumungkahi ng pare-parehong paggamit ng mga tool na nauugnay sa AcidRain/AcidPour sa buong labanan.
Higit pang nagpapatibay sa koneksyon sa Sandworm, isang banta na aktor na kilala bilang Solntsepyok (tinukoy din bilang Solntsepek o SolntsepekZ) ang nag-claim ng responsibilidad sa pagpasok sa apat na Ukrainian telecommunication operator at pag-abala sa kanilang mga serbisyo noong Marso 13, 2024, tatlong araw lamang bago ang pagkatuklas ng AcidPour.
Ayon sa State Special Communications Service of Ukraine (SSSCIP), ang Solntsepyok ay isang Russian Advanced Persistent Threat (APT) na may malamang na kaugnayan sa Main Directorate ng General Staff ng Armed Forces of the Russian Federation (GRU), na nangangasiwa sa Sandworm.
Kapansin-pansin na si Solntsepyok ay inakusahan din ng paglabag sa mga sistema ng Kyivstar noong Mayo 2023, nang mahayag ang paglabag sa huling bahagi ng Disyembre ng taong iyon.
Bagama't nananatiling hindi tiyak kung ginamit ang AcidPour sa pinakahuling pag-atake, ang pagtuklas nito ay nagmumungkahi na ang mga aktor ng pagbabanta ay patuloy na nililinaw ang kanilang mga taktika upang magsagawa ng mga mapanirang pag-atake at magdulot ng makabuluhang pagkagambala sa pagpapatakbo.
Ang ebolusyon na ito ay hindi lamang nagha-highlight ng pagpapahusay sa mga teknikal na kakayahan ng mga aktor na ito ng pagbabanta ngunit binibigyang-diin din ang kanilang estratehikong diskarte sa pagpili ng mga target upang palakasin ang mga epekto ng ripple, at sa gayon ay nakakagambala sa mga kritikal na imprastraktura at komunikasyon.
