Ο υαλοκαθαριστήρας AcidPour αναπτύχθηκε ενάντια σε ουκρανικούς στόχους
Οι ερευνητές ανακάλυψαν κακόβουλο λογισμικό υαλοκαθαριστήρα που είχε συνδεθεί με τη Ρωσία, το οποίο χρησιμοποιήθηκε σε μια επιχείρηση πριν από δύο χρόνια με στόχο περισσότερα από 10.000 δορυφορικά μόντεμ κυρίως στην Ουκρανία λίγο πριν από την εισβολή της Ρωσίας στη γειτονική χώρα.
Ονομάστηκε AcidPour από την εταιρεία ασφαλείας Sentinel One, αυτό το νέο κακόβουλο λογισμικό έχει εντυπωσιακές ομοιότητες με τον AcidRain, έναν υαλοκαθαριστήρα που αναγνωρίστηκε τον Μάρτιο του 2022, ο οποίος επιβεβαιώθηκε από τη Viasat ότι συμμετείχε στην επίθεση στα μόντεμ της νωρίτερα εκείνο τον μήνα. Οι υαλοκαθαριστήρες είναι κακόβουλα προγράμματα που έχουν σχεδιαστεί για να καταστρέφουν δεδομένα ή να καθιστούν τις συσκευές αχρησιμοποίητες. Η Viasat ανέφερε ότι το AcidRain εγκαθίσταται σε πάνω από 10.000 μόντεμ Eutelsat KA-SAT μετά την παραβίαση του ιδιωτικού δικτύου της εταιρείας από εισβολείς.
Ομοιότητες μεταξύ AcidPour και VPNFilter
Η Sentinel One, η ίδια εταιρεία που ανακάλυψε το AcidRain, σημείωσε τεχνικές ομοιότητες μεταξύ αυτού και ενός κακόβουλου λογισμικού που αποδόθηκε στη ρωσική κυβέρνηση το 2018, γνωστό ως VPNFilter. Αυτή η σύνδεση υποδηλώνει ότι το AcidRain και το κακόβουλο λογισμικό του 2018 μπορεί να είναι προϊόντα της ίδιας ομάδας προγραμματιστών. Η πρόσφατη ανακάλυψη του AcidPour το υποστηρίζει περαιτέρω, υποδεικνύοντας ότι πιθανότατα αναπτύχθηκε από την ομάδα που συνδέεται με το Κρεμλίνο.
Τεχνικοί παραλληλισμοί μεταξύ του AcidPour και άλλων κακόβουλων προγραμμάτων, όπως ο μηχανισμός επανεκκίνησης, η αναδρομική λογική σκουπίσματος καταλόγου και ο μηχανισμός σκουπίσματος που βασίζεται στο IOCTL, ενισχύουν περαιτέρω αυτή τη συσχέτιση. Το AcidPour μοιράζεται επίσης χαρακτηριστικά προγραμματισμού με άλλα κακόβουλα προγράμματα που αποδίδονται στην ομάδα Sandworm, συμπεριλαμβανομένων των Industroyer2 και CaddyWiper, τα οποία στόχευαν και τις δύο υποδομές της Ουκρανίας.
Η γλώσσα προγραμματισμού και οι τεχνικές που χρησιμοποιούνται στο AcidPour ευθυγραμμίζονται με εκείνες που χρησιμοποιήθηκαν σε προηγούμενες επιθέσεις που σχετίζονται με το Sandworm, υποδεικνύοντας έναν συνεπή τρόπο λειτουργίας. Οι ουκρανικές αρχές συνδέουν το AcidPour με το UAC-0165, μια αποσπασματική ομάδα που σχετίζεται με το Sandworm, γνωστό για την ιστορία του να στοχεύει ουκρανικές υποδομές ζωτικής σημασίας.
Εικασίες από ερευνητές του Sentinel One υποδηλώνουν ότι το AcidPour μπορεί να έχει αναπτυχθεί για να διαταράξει τα ουκρανικά δίκτυα τηλεπικοινωνιών, τα οποία ήταν εκτός σύνδεσης από τις 13 Μαρτίου, λίγο πριν την ανακάλυψη του νέου υαλοκαθαριστήρα.