AcidPour Wiper opsat mod ukrainske mål
Forskere har opdaget tidligere uset wiper-malware i forbindelse med Rusland, som blev brugt i en operation for over to år siden rettet mod mere end 10.000 satellitmodem primært i Ukraine lige før Ruslands invasion af nabolandet.
Navnet AcidPour af sikkerhedsfirmaet Sentinel One, har denne nye malware slående ligheder med AcidRain, en visker identificeret i marts 2022, bekræftet af Viasat at have været involveret i angrebet på dets modemer tidligere samme måned. Wipers er ondsindede programmer designet til at ødelægge data eller gøre enheder ubrugelige. Viasat rapporterede, at AcidRain blev installeret på over 10.000 Eutelsat KA-SAT-modems, efter at angribere brød virksomhedens private netværk.
Ligheder mellem AcidPour og VPNFilter
Sentinel One, det samme firma, der opdagede AcidRain, bemærkede tekniske ligheder mellem det og en malware tilskrevet den russiske regering i 2018, kendt som VPNFilter. Denne forbindelse antyder, at AcidRain og 2018-malwaren kan være produkter fra det samme udviklerteam. Den nylige opdagelse af AcidPour understøtter dette yderligere, hvilket indikerer, at det sandsynligvis blev udviklet af det Kreml-tilknyttede team.
Tekniske paralleller mellem AcidPour og anden malware, såsom deres genstartmekanisme, rekursive bibliotekssletningslogik og slettemekanisme baseret på IOCTL, forstærker denne sammenhæng yderligere. AcidPour deler også programmeringsegenskaber med anden malware, der tilskrives Sandworm-gruppen, herunder Industroyer2 og CaddyWiper, som begge var rettet mod ukrainsk infrastruktur.
Programmeringssproget og teknikkerne, der bruges i AcidPour, stemmer overens med dem, der blev brugt i tidligere Sandorm-relaterede angreb, hvilket indikerer en konsekvent modus operandi. De ukrainske myndigheder forbinder AcidPour med UAC-0165, en splintgruppe forbundet med Sandworm, kendt for sin historie med at målrette ukrainsk kritisk infrastruktur.
Spekulationer fra Sentinel One-forskere antyder, at AcidPour muligvis er blevet indsat for at forstyrre ukrainske telekommunikationsnetværk, som har været offline siden 13. marts, kort før opdagelsen af den nye visker.
