Naujausi „SentinelOne“ duomenys rodo, kad per atakas, nukreiptas prieš keturis telekomunikacijų paslaugų teikėjus Ukrainoje, galėjo būti panaudota duomenų trynimo kenkėjiška programa „AcidPour“.
„AcidPour“ sąsajos su „AcidRain“
Kibernetinio saugumo įmonė taip pat patvirtino šios kenkėjiškos programos ir „AcidRain“ sąsajas, susiedama ją su grėsmių veiklos grupėmis, susijusiomis su Rusijos karine žvalgyba.
„Išplėstos „AcidPour“ galimybės leistų jai geriau išjungti įterptinius įrenginius, įskaitant tinklus, daiktų internetą, dideles saugyklas (RAID) ir galbūt ICS įrenginius su „Linux x86“ distribucijomis“, – sakė saugumo tyrėjai Juanas Andresas Guerrero-Saade ir Tomas Hegelis.
„AcidPour“ yra „AcidRain“ variantas – įrankis, kuris buvo naudojamas, kad „Viasat KA-SAT“ modemai negalėtų veikti 2022 m. pradžioje prasidėjus Rusijos ir Ukrainos karui ir būtų paralyžiuotas Ukrainos karinis ryšys.
Ji taip pat remiasi pastarosios savybėmis, tačiau nukreipta į „Linux“ sistemas, veikiančias x86 architektūros pagrindu. Kita vertus, „AcidRain“ yra parengta MIPS architektūrai.
Jei „AcidRain“ buvo bendresnio pobūdžio, tai „AcidPour“ turi logiką, skirtą įterptiesiems įrenginiams, duomenų saugyklų tinklams (SAN), prie tinklo prijungtoms saugykloms (NAS) ir specialiems RAID masyvams.
Vis dėlto abu kamienai sutampa, kai kalbama apie pakartotinio paleidimo skambučių naudojimą ir rekursyvinio katalogų ištrynimo metodą. Taip pat identiškas yra „IOCTL“ pagrįstas įrenginių ištrynimo mechanizmas, kuris taip pat turi bendrų bruožų su kita su „Sandworm“ susijusia kenkėjiška programa, žinoma kaip „VPNFilter“.
„Vienas iš įdomiausių „AcidPour“ aspektų yra jo kodavimo stilius, primenantis pragmatišką „CaddyWiper“, plačiai naudojamą prieš Ukrainos taikinius kartu su tokiomis svarbiomis kenkėjiškomis programomis kaip „Industroyer 2“, – sakė tyrėjai.
C pagrindu sukurta kenkėjiška programinė įranga turi savaiminio ištrynimo funkciją, kuri vykdymo pradžioje pati save perrašo į diską, taip pat taiko alternatyvų ištrynimo būdą, priklausomai nuo įrenginio tipo.
„AcidPour“ siejama ir su „Sandworm“
„AcidPour“ priskiriama įsilaužėlių komandai, žinomai kaip „UAC-0165“, kuri siejama su „Sandworm“ ir yra įvykdžiusi smūgių Ukrainos kritinei infrastruktūrai.
Ukrainos kompiuterinių incidentų tyrimo grupė (CERT-UA) 2023 m. spalio mėn. priskyrė jį prie atakų, nukreiptų prieš mažiausiai 11 šalies telekomunikacijų paslaugų teikėjų praėjusių metų gegužės-rugsėjo mėn.
„[AcidPour] galėjo būti panaudotas 2023 m.“, – „The Hacker News“ sakė Hegelis. „Tikėtina, kad veikėjas su „AcidRain“ / „AcidPour“ susijusias priemones nuosekliai naudojo viso karo metu. Šios perspektyvos spraga byloja apie tai, kokio lygio įžvalgas apie kibernetinius įsilaužimus dažnai turi visuomenė – paprastai gana ribotas ir neišsamias.“
Sąsajas su „Sandworm“ patvirtina ir tai, kad kibernetinis įsilaužėlis, žinomas kaip Solntsepyok (dar žinomas kaip Solntsepek arba SolntsepekZ), teigė, kad 2024 m. kovo 13 d., likus trims dienoms iki „AcidPour“ aptikimo, įsiskverbė į keturis skirtingus telekomunikacijų operatorius Ukrainoje ir sutrikdė jų paslaugų teikimą.
Ukrainos valstybinės specialiosios ryšių tarnybos (VSSCIP) duomenimis, „Solntsepek“ yra Rusijos pažangi nuolatinė grėsmė (APT), tikėtina, susijusi su Rusijos Federacijos ginkluotųjų pajėgų generalinio štabo (GRU) vyriausiąja valdyba, kuri taip pat valdo „Sandworm“.
Verta pažymėti, kad „Solntsepyok“ taip pat buvo kaltinama įsilaužimu į „Kyivstar“ sistemas dar 2023 m. gegužės mėn. Įsilaužimas išaiškėjo gruodžio pabaigoje.
Nors šiuo metu neaišku, ar „AcidPour“ buvo naudojamas naujausių atakų metu, šis atradimas rodo, kad kibernetiniai įsilaužėliai nuolat tobulina savo taktiką, kad galėtų rengti destruktyvias atakas ir daryti didelį poveikį veiklai.
„Šis progresas atskleidžia ne tik šių grėsmių sukėlėjų techninių galimybių tobulėjimą, bet ir jų apskaičiuotą požiūrį į taikinių pasirinkimą, siekiant maksimaliai padidinti tolesnį poveikį, sutrikdyti svarbią infrastruktūrą ir komunikacijas“, – sakė tyrėjai.