AcidPour-Wischer gegen ukrainische Ziele eingesetzt
Forscher haben bisher unbekannte Wiper-Malware im Zusammenhang mit Russland entdeckt, die vor über zwei Jahren bei einer Operation eingesetzt wurde, die auf mehr als 10.000 Satellitenmodems vor allem in der Ukraine abzielte, kurz bevor Russland in das Nachbarland einmarschierte.
Diese neue Malware, die von der Sicherheitsfirma Sentinel One AcidPour genannt wurde, weist verblüffende Ähnlichkeiten mit AcidRain auf, einem Wischer, der im März 2022 identifiziert wurde und von Viasat bestätigt wurde, an dem Angriff auf seine Modems Anfang des Monats beteiligt gewesen zu sein. Wiper sind Schadprogramme, die Daten zerstören oder Geräte unbrauchbar machen sollen. Viasat berichtete, dass AcidRain auf über 10.000 Eutelsat KA-SAT-Modems installiert wurde, nachdem Angreifer in das private Netzwerk des Unternehmens eingedrungen waren.
Ähnlichkeiten zwischen AcidPour und VPNFilter
Sentinel One, das gleiche Unternehmen, das AcidRain entdeckt hat, stellte technische Ähnlichkeiten zwischen ihm und einer Malware namens VPNFilter fest, die 2018 der russischen Regierung zugeschrieben wurde. Dieser Zusammenhang legt nahe, dass AcidRain und die Malware 2018 Produkte desselben Entwicklerteams sein könnten. Die jüngste Entdeckung von AcidPour unterstützt dies weiter und deutet darauf hin, dass es wahrscheinlich von dem Kreml-nahen Team entwickelt wurde.
Technische Parallelen zwischen AcidPour und anderer Malware, wie z. B. der Neustartmechanismus, die rekursive Verzeichnislöschlogik und der auf IOCTL basierende Löschmechanismus, verstärken diesen Zusammenhang weiter. AcidPour hat auch dieselben Programmiermerkmale wie andere Malware, die der Sandworm-Gruppe zugeordnet wird, darunter Industroyer2 und CaddyWiper, die beide auf die ukrainische Infrastruktur abzielten.
Die in AcidPour verwendete Programmiersprache und -techniken stimmen mit denen früherer Angriffe im Zusammenhang mit Sandwürmern überein, was auf eine konsistente Vorgehensweise hinweist. Die ukrainischen Behörden bringen AcidPour mit UAC-0165 in Verbindung, einer Splittergruppe im Zusammenhang mit Sandworm, die für ihre Angriffe auf kritische Infrastrukturen der Ukraine bekannt ist.
Spekulationen von Sentinel One-Forschern deuten darauf hin, dass AcidPour möglicherweise eingesetzt wurde, um ukrainische Telekommunikationsnetze zu stören, die seit dem 13. März, kurz vor der Entdeckung des neuen Wischers, offline waren.
