AcidPour Wiper
AsitPour olarak bilinen tehditkar bir yazılım, Ukrayna'daki dört telekomünikasyon sağlayıcısını hedef alan saldırılarda potansiyel olarak kullanıldı. Siber güvenlik uzmanları, bu kötü amaçlı yazılım ile AsidRain arasındaki bağlantıları tespit ederek bunu Rus askeri istihbaratıyla ilişkili tehdit operasyonlarıyla ilişkilendirdi. LiquidPour, ağ ekipmanı, Nesnelerin İnterneti (IoT) cihazları, büyük depolama sistemleri (RAID'ler) ve Linux x86 dağıtımlarında çalışan potansiyel Endüstriyel Kontrol Sistemleri (ICS) gibi çeşitli gömülü cihazları devre dışı bırakma konusunda usta hale getiren gelişmiş işlevselliklere sahiptir.
AsitPour, özellikle 2022'deki Rusya-Ukrayna çatışmasının ilk aşamalarında Viasat KA-SAT modemlerini sabote etmek için kullanılan ve Ukrayna'nın askeri iletişim ağlarını bozan bir silici olan acidRain'in bir türevidir.
AsitPour Genişletilmiş Müdahaleci Yeteneklerle Donatılmıştır
AsitPour kötü amaçlı yazılımı, özellikle x86 mimarisi üzerinde çalışan Linux sistemlerini hedef alarak önceki sürümün yeteneklerini geliştiriyor. Bunun aksine, acidrain MIPS mimarisi için özel olarak tasarlanmıştır. AsitRain doğası gereği daha genel olsa da, AsitPour gömülü aygıtları, Depolama Alanı Ağlarını (SAN'lar), Ağa Bağlı Depolama (NAS) aygıtlarını ve özel RAID dizilerini hedeflemek için özel bir mantık içerir.
Bununla birlikte, her iki değişken de yeniden başlatma çağrıları ve yinelemeli dizin silme yöntemlerinin kullanımında ortak noktalara sahiptir. Ayrıca, VPNFilter olarak bilinen Sandworm ile ilişkili başka bir kötü amaçlı yazılıma benzeyen, IOCTL'leri temel alan bir cihaz silme mekanizması da kullanırlar.
AsitPour'un ilgi çekici yönlerinden biri, Industroyer2 gibi önemli tehditlerin yanı sıra Ukraynalı hedeflere karşı yaygın olarak kullanılan pratik CaddyWiper kötü amaçlı yazılımını anımsatan kodlama stilidir. Bu C tabanlı kötü amaçlı yazılım, yürütme başlangıcında diskin üzerine yazan ve aynı zamanda cihazın türüne bağlı olarak alternatif silme yaklaşımları uygulayan bir kendi kendini silme işlevi içerir.
AsitPour, Rusya Bağlantılı Bir Hacking Grubuyla Bağlantılı Oldu
AsitPour'un, Sandworm'a bağlı olan ve Ukrayna'daki kritik altyapıyı hedef alma geçmişine sahip, UAC-0165 olarak tanımlanan bir bilgisayar korsanlığı grubu tarafından konuşlandırıldığına inanılıyor.
Ekim 2023'te, Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), bu saldırganın, bir önceki yılın Mayıs ve Eylül ayları arasında ülkedeki en az 11 telekomünikasyon hizmet sağlayıcısına yönelik saldırılara karıştığını tespit etti. Bu saldırılar sırasında AsitPour kullanılmış olabilir; bu da çatışma boyunca AsitRain/AcidPour ile ilgili araçların tutarlı bir şekilde kullanıldığını akla getiriyor.
Sandworm ile bağlantıyı daha da güçlendiren Solntsepyok (Solntsepek veya SolntsepekZ olarak da anılır) olarak bilinen bir tehdit aktörü, 13 Mart 2024'te, yani AsitPour'un keşfedilmesinden sadece üç gün önce, dört Ukraynalı telekomünikasyon operatörüne sızmanın ve hizmetlerini kesintiye uğratmanın sorumluluğunu üstlendi.
Ukrayna Devlet Özel İletişim Servisi'ne (SSSCIP) göre Solntsepyok, Kum Solucanı'nı denetleyen Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Başkanlığı (GRU) Ana Müdürlüğü ile muhtemel bağları olan bir Rus İleri Kalıcı Tehdididir (APT).
Solntsepyok'un aynı zamanda Mayıs 2023 gibi erken bir tarihte Kyivstar'ın sistemlerini ihlal etmekle suçlandığını ve ihlalin o yılın Aralık ayı sonlarında gün ışığına çıktığını belirtmekte fayda var.
En son saldırı dalgasında LiquidPour'un kullanılıp kullanılmadığı belirsizliğini korusa da, keşfi, tehdit aktörlerinin yıkıcı saldırılar gerçekleştirmek ve önemli operasyonel aksaklıklara neden olmak için sürekli olarak taktiklerini geliştirdiklerini gösteriyor.
Bu evrim, yalnızca bu tehdit aktörlerinin teknik yeteneklerindeki artışı vurgulamakla kalmıyor, aynı zamanda dalga etkilerini artırmak ve böylece kritik altyapı ve iletişimleri kesintiye uğratmak için hedef seçme konusundaki stratejik yaklaşımlarını da vurguluyor.
