AcidPour Wiper

一种名为 AcidPour 的威胁软件可能被用于针对乌克兰四家电信提供商的攻击。网络安全专家已经确定了该恶意软件与AcidRain之间的联系，将其与与俄罗斯军事情报相关的威胁行动联系起来。 AcidPour 拥有增强的功能，使其擅长使各种嵌入式设备失效，例如网络设备、物联网 (IoT) 设备、大型存储系统 (RAID) 以及在 Linux x86 发行版上运行的潜在工业控制系统 (ICS)。

值得注意的是，AcidPour 是 AcidRain 的衍生品，AcidRain 是一种擦拭器，最初用于在 2022 年俄罗斯-乌克兰冲突的早期阶段破坏 Viasat KA-SAT 调制解调器，从而扰乱乌克兰的军事通信网络。

AcidPour 配备了一系列扩展的侵入功能

AcidPour 恶意软件扩展了其前身的功能，专门针对 x86 架构上运行的 Linux 系统。相比之下，AcidRain 是为 MIPS 架构量身定制的。 AcidRain 本质上更通用，而 AcidPour 则结合了专门的逻辑来定位嵌入式设备、存储区域网络 (SAN)、网络附加存储 (NAS) 设备和专用 RAID 阵列。

然而，这两种变体在重新启动调用和递归目录擦除方法的利用方面具有共同点。他们还采用基于 IOCTL 的设备擦除机制，该机制与与Sandworm相关的另一种恶意软件VPNFilter类似。

AcidPour 的一个有趣的方面是它的编码风格，让人想起实用的CaddyWiper恶意软件，该恶意软件已广泛用于针对乌克兰目标以及Industroyer2等著名威胁。这种基于 C 的恶意软件具有自删除功能，可以在执行开始时在磁盘上覆盖自身，同时还根据设备类型实施替代擦除方法。

AcidPour 与俄罗斯联盟黑客组织有联系

AcidPour 被认为是由一个名为 UAC-0165 的黑客组织部署的，该组织隶属于 Sandworm，并且有针对乌克兰关键基础设施的历史记录。

2023 年 10 月，乌克兰计算机紧急响应小组 (CERT-UA) 暗示该对手在前一年 5 月至 9 月期间对该国至少 11 家电信服务提供商发起了攻击。在这些攻击中可能使用了 AcidPour，这表明在整个冲突期间一致使用 AcidRain/AcidPour 相关工具。

为了进一步加强与 Sandworm 的联系，一个名为 Solntsepyok（也称为 Solntsepek 或 SolntsepekZ）的威胁行为者声称对 2024 年 3 月 13 日渗透四家乌克兰电信运营商并扰乱其服务负责，就在 AcidPour 被发现的三天前。

据乌克兰国家特别通信局 (SSSCIP) 称，Solntsepyok 是俄罗斯高级持续威胁 (APT)，可能与负责监管 Sandworm 的俄罗斯联邦武装部队总参谋部 (GRU) 有联系。

值得注意的是，Solntsepyok 早在 2023 年 5 月就被指控入侵 Kyivstar 的系统，该漏洞于当年 12 月底曝光。

虽然尚不确定最近一波攻击中是否使用 AcidPour，但其发现表明威胁行为者正在不断完善其策略以执行破坏性攻击并造成重大操作中断。

这种演变不仅凸显了这些威胁行为者技术能力的增强，还强调了他们选择目标以放大连锁反应、从而破坏关键基础设施和通信的战略方法。