AcidPour Wiper

Загрозливе програмне забезпечення, відоме як AcidPour, потенційно використовувалося в атаках, спрямованих на чотирьох телекомунікаційних провайдерів в Україні. Експерти з кібербезпеки виявили зв’язок між цим зловмисним програмним забезпеченням і AcidRain , пов’язавши його із загрозливими операціями, пов’язаними з російською військовою розвідкою. AcidPour може похвалитися розширеними функціями, що робить його вправним у виведенні з ладу різноманітних вбудованих пристроїв, таких як мережеве обладнання, пристрої Інтернету речей (IoT), великі системи зберігання даних (RAID) і, можливо, промислові системи управління (ICS), що працюють на дистрибутивах Linux x86.

Примітно, що AcidPour є похідною від AcidRain, склоочисника, який спочатку використовувався для саботажу модемів Viasat KA-SAT на ранніх етапах російсько-українського конфлікту в 2022 році, порушуючи роботу українських військових мереж зв’язку.

AcidPour оснащено розширеним набором інтрузивних можливостей

Зловмисне програмне забезпечення AcidPour розширює можливості свого попередника, спеціально націлюючись на системи Linux, що працюють на архітектурі x86. Навпаки, AcidRain розроблено для архітектури MIPS. У той час як AcidRain був більш загальним за своєю природою, AcidPour включає спеціалізовану логіку для націлювання на вбудовані пристрої, мережі зберігання даних (SAN), мережеві пристрої зберігання даних (NAS) і виділені масиви RAID.

Тим не менш, обидва варіанти мають спільні риси у використанні викликів перезавантаження та рекурсивних методів стирання каталогу. Вони також використовують механізм очищення пристрою на основі IOCTL, який схожий на інше шкідливе програмне забезпечення, пов’язане з Sandworm , відоме як VPNFilter .

Одним із цікавих аспектів AcidPour є його стиль кодування, що нагадує практичне зловмисне програмне забезпечення CaddyWiper , яке широко використовувалося проти українських цілей поряд із такими відомими загрозами, як Industroyer2 . Це зловмисне програмне забезпечення на основі C містить функцію самовидалення, яка перезаписує себе на диск на початку виконання, а також реалізує альтернативні підходи до видалення залежно від типу пристрою.

AcidPour був пов’язаний з російською групою хакерів

Вважається, що AcidPour був розгорнутий хакерською групою під назвою UAC-0165, яка пов’язана з Sandworm і має історію нападів на критичну інфраструктуру в Україні.

У жовтні 2023 року Команда реагування на комп’ютерні надзвичайні ситуації України (CERT-UA) виявила причетність цього зловмисника до атак на щонайменше 11 провайдерів телекомунікаційних послуг у країні в період з травня по вересень попереднього року. Під час цих атак міг бути використаний AcidPour, що свідчить про послідовне використання інструментів AcidRain/AcidPour протягом усього конфлікту.

Ще більше посилюючи зв’язок із Sandworm, загрозливий актор, відомий як Solntsepyok (також відомий як Solntsepek або SolntsepekZ), взяв на себе відповідальність за проникнення до чотирьох українських телекомунікаційних операторів і збій їхніх послуг 13 березня 2024 року, лише за три дні до виявлення AcidPour.

За даними Держспецзв’язку України (ДССКЗ), «Солнцепьок» — це російська Advanced Persistent Threa (APT), ймовірно пов’язана з Головним управлінням Генерального штабу Збройних сил Російської Федерації (ГРУ), яке курує Sandworm.

Варто зазначити, що Солнцепьок також звинувачували у зламі систем Київстар ще у травні 2023 року, про злам стало відомо наприкінці грудня того ж року.

Хоча залишається невизначеним, чи використовувався AcidPour під час останньої хвилі атак, його відкриття свідчить про те, що зловмисники постійно вдосконалюють свою тактику для виконання руйнівних нападів і спричинення значних збоїв у роботі.

Ця еволюція не лише підкреслює покращення технічних можливостей цих суб’єктів загрози, але й підкреслює їхній стратегічний підхід до вибору цілей для посилення хвильових ефектів, тим самим порушуючи критичну інфраструктуру та комунікації.