AcidPour Wiper

一種名為 AcidPour 的威脅軟體可能被用於針對烏克蘭四家電信供應商的攻擊。網路安全專家已經確定了該惡意軟體與AcidRain之間的聯繫，將其與與俄羅斯軍事情報相關的威脅行動聯繫起來。 AcidPour 擁有增強的功能，使其擅長使各種嵌入式設備失效，例如網路設備、物聯網(IoT) 設備、大型儲存系統(RAID) 以及在Linux x86 發行版上運行的潛在工業控制系統(ICS) 。

值得注意的是，AcidPour 是 AcidRain 的衍生品，AcidRain 是一種擦拭器，最初用於在 2022 年俄羅斯-烏克蘭衝突的早期階段破壞 Viasat KA-SAT 調製解調器，從而擾亂烏克蘭的軍事通訊網路。

AcidPour 配備了一系列擴展的侵入功能

AcidPour 惡意軟體擴充了其前身的功能，專門針對 x86 架構上運行的 Linux 系統。相比之下，AcidRain 是為 MIPS 架構量身定制的。 AcidRain 本質上更通用，而 AcidPour 則結合了專門的邏輯來定位嵌入式設備、儲存區域網路 (SAN)、網路附加儲存 (NAS) 設備和專用 RAID 陣列。

然而，這兩種變體在重新啟動呼叫和遞歸目錄擦除方法的利用方面具有共同點。他們還採用基於 IOCTL 的裝置擦除機制，該機制與與Sandworm相關的另一種惡意軟體VPNFilter類似。

AcidPour 的一個有趣的方面是它的編碼風格，讓人想起實用的CaddyWiper惡意軟體，該惡意軟體已廣泛用於針對烏克蘭目標以及Industroyer2等著名威脅。這種基於 C 語言的惡意軟體具有自刪除功能，可在執行開始時在磁碟上覆寫自身，同時也根據裝置類型實施替代擦除方法。

AcidPour 與俄羅斯聯盟的駭客組織有聯繫

AcidPour 被認為是由一個名為 UAC-0165 的駭客組織部署的，該組織隸屬於 Sandworm，並且有針對烏克蘭關鍵基礎設施的歷史記錄。

2023 年 10 月，烏克蘭電腦緊急應變小組 (CERT-UA) 暗示該對手在前一年 5 月至 9 月期間對該國至少 11 家電信服務提供商發起了攻擊。在這些攻擊中可能使用了 AcidPour，這表明在整個衝突期間一致使用 AcidRain/AcidPour 相關工具。

為了進一步強化與Sandworm 的聯繫，一個名為Solntsepyok（也稱為Solntsepek 或SolntsepekZ）的威脅參與者聲稱對2024 年3 月13 日滲透四家烏克蘭電信運營商並擾亂其服務負責，就在AcidPour 被發現的三天前。

據烏克蘭國家特別通信局 (SSSCIP) 稱，Solntsepyok 是俄羅斯高級持續威脅 (APT)，可能與負責監管 Sandworm 的俄羅斯聯邦武裝部隊總參謀部 (GRU) 有聯繫。

值得注意的是，Solntsepyok 早在 2023 年 5 月就被指控入侵 Kyivstar 的系統，漏洞在當年 12 月底曝光。

雖然尚不確定最近一波攻擊中是否使用 AcidPour，但其發現表明威脅行為者正在不斷改進其策略以執行破壞性攻擊並造成嚴重的營運中斷。

這種演變不僅突顯了這些威脅行為者技術能力的增強，也突顯了他們選擇目標以放大連鎖反應、從而破壞關鍵基礎設施和通訊的戰略方法。