AcidPour Wiper

Một phần mềm đe dọa có tên AcidPour có khả năng đã được sử dụng trong các cuộc tấn công nhằm vào bốn nhà cung cấp dịch vụ viễn thông ở Ukraine. Các chuyên gia an ninh mạng đã xác định được mối liên hệ giữa phần mềm độc hại này và AcidRain , liên kết nó với các hoạt động đe dọa liên quan đến tình báo quân sự Nga. AcidPour tự hào có các chức năng nâng cao, giúp nó có khả năng vô hiệu hóa các thiết bị nhúng khác nhau như thiết bị mạng, thiết bị Internet of Things (IoT), hệ thống lưu trữ lớn (RAID) và các Hệ thống điều khiển công nghiệp (ICS) tiềm năng chạy trên các bản phân phối Linux x86.

Đáng chú ý, AcidPour là một dẫn xuất của AcidRain, một công cụ gạt nước ban đầu được sử dụng để phá hoại modem Viasat KA-SAT trong giai đoạn đầu của cuộc xung đột Nga-Ukraine vào năm 2022, làm gián đoạn mạng lưới liên lạc quân sự của Ukraine.

AcidPour được trang bị một bộ khả năng xâm nhập mở rộng

Phần mềm độc hại AcidPour mở rộng khả năng của phần mềm tiền nhiệm bằng cách nhắm mục tiêu cụ thể vào các hệ thống Linux hoạt động trên kiến trúc x86. Ngược lại, AcidRain được thiết kế riêng cho kiến trúc MIPS. Trong khi AcidRain có bản chất chung chung hơn, AcidPour kết hợp logic chuyên dụng để nhắm mục tiêu các thiết bị nhúng, Mạng khu vực lưu trữ (SAN), thiết bị Lưu trữ đính kèm mạng (NAS) và mảng RAID chuyên dụng.

Tuy nhiên, cả hai biến thể đều có những điểm chung trong việc sử dụng lệnh gọi khởi động lại và phương pháp xóa thư mục đệ quy. Chúng cũng sử dụng cơ chế xóa thiết bị dựa trên IOCTL, tương tự như một phần mềm độc hại khác liên quan đến Sandworm có tên là VPNFilter .

Một khía cạnh hấp dẫn của AcidPour là phong cách mã hóa của nó, gợi nhớ đến phần mềm độc hại CaddyWiper thực tế, được sử dụng rộng rãi để chống lại các mục tiêu ở Ukraine cùng với các mối đe dọa đáng chú ý như Industryroyer2 . Phần mềm độc hại dựa trên C này bao gồm chức năng tự xóa, tự ghi đè lên đĩa khi bắt đầu thực thi, đồng thời triển khai các phương pháp xóa sạch thay thế tùy thuộc vào loại thiết bị.

AcidPour đã được liên kết với một nhóm hack liên kết với Nga

AcidPour được cho là đã được triển khai bởi một nhóm hack được xác định là UAC-0165, liên kết với Sandworm và có lịch sử nhắm mục tiêu vào cơ sở hạ tầng quan trọng ở Ukraine.

Vào tháng 10 năm 2023, Nhóm ứng phó khẩn cấp máy tính của Ukraine (CERT-UA) đã chỉ ra đối thủ này đã thực hiện các cuộc tấn công nhằm vào ít nhất 11 nhà cung cấp dịch vụ viễn thông trong nước từ tháng 5 đến tháng 9 năm trước. AcidPour có thể đã được sử dụng trong các cuộc tấn công này, cho thấy việc sử dụng nhất quán các công cụ liên quan đến AcidRain/AcidPour trong suốt cuộc xung đột.

Củng cố hơn nữa mối liên hệ với Sandworm, một kẻ đe dọa có tên Solntsepyok (còn được gọi là Solntsepek hoặc SolntsepekZ) đã nhận trách nhiệm xâm nhập vào bốn nhà khai thác viễn thông Ukraina và làm gián đoạn dịch vụ của họ vào ngày 13 tháng 3 năm 2024, chỉ ba ngày trước khi AcidPour được phát hiện.

Theo Cơ quan Truyền thông Đặc biệt Nhà nước Ukraine (SSSCIP), Solntsepyok là Mối đe dọa dai dẳng cấp cao (APT) của Nga có mối quan hệ có thể xảy ra với Tổng cục trưởng của Bộ Tổng tham mưu các lực lượng vũ trang Liên bang Nga (GRU), cơ quan giám sát Sandworm.

Điều đáng chú ý là Solntsepyok cũng bị cáo buộc vi phạm hệ thống của Kyivstar ngay từ tháng 5 năm 2023, và vi phạm này bị phát hiện vào cuối tháng 12 năm đó.

Mặc dù vẫn chưa chắc chắn liệu AcidPour có được sử dụng trong làn sóng tấn công gần đây nhất hay không, nhưng phát hiện của nó cho thấy các tác nhân đe dọa đang liên tục tinh chỉnh chiến thuật của mình để thực hiện các cuộc tấn công hủy diệt và gây ra sự gián đoạn hoạt động đáng kể.

Sự phát triển này không chỉ nêu bật sự nâng cao về khả năng kỹ thuật của các tác nhân đe dọa này mà còn nhấn mạnh cách tiếp cận chiến lược của chúng trong việc lựa chọn mục tiêu để khuếch đại các hiệu ứng lan tỏa, từ đó làm gián đoạn cơ sở hạ tầng và thông tin liên lạc quan trọng.