Limpiador AcidPour desplegado contra objetivos ucranianos
Los investigadores han descubierto un malware de limpieza nunca antes visto asociado con Rusia, que se utilizó en una operación hace más de dos años dirigida a más de 10.000 módems satelitales principalmente en Ucrania, justo antes de la invasión rusa del país vecino.
Este nuevo malware, denominado AcidPour por la empresa de seguridad Sentinel One, tiene sorprendentes parecidos con AcidRain, un limpiador identificado en marzo de 2022, que Viasat confirmó que estuvo involucrado en el ataque a sus módems a principios de ese mes. Los limpiadores son programas maliciosos diseñados para destruir datos o inutilizar dispositivos. Viasat informó que AcidRain se instaló en más de 10.000 módems Eutelsat KA-SAT después de que los atacantes violaran la red privada de la empresa.
Similitudes entre AcidPour y VPNFilter
Sentinel One, la misma empresa que descubrió AcidRain, notó similitudes técnicas entre este y un malware atribuido al gobierno ruso en 2018, conocido como VPNFilter. Esta conexión sugiere que AcidRain y el malware de 2018 podrían ser productos del mismo equipo de desarrolladores. El reciente descubrimiento de AcidPour respalda aún más esto, indicando que probablemente fue desarrollado por un equipo afiliado al Kremlin.
Los paralelismos técnicos entre AcidPour y otro malware, como su mecanismo de reinicio, lógica de borrado de directorio recursivo y mecanismo de borrado basado en IOCTL, refuerzan aún más esta asociación. AcidPour también comparte características de programación con otro malware atribuido al grupo Sandworm, incluidos Industroyer2 y CaddyWiper, ambos dirigidos a la infraestructura ucraniana.
El lenguaje de programación y las técnicas utilizadas en AcidPour se alinean con las empleadas en ataques anteriores relacionados con Sandworm, lo que indica un modus operandi consistente. Las autoridades ucranianas vinculan a AcidPour con UAC-0165, un grupo escindido asociado con Sandworm, conocido por su historial de atacar infraestructura crítica ucraniana.
Las especulaciones de los investigadores de Sentinel One sugieren que AcidPour pudo haber sido implementado para interrumpir las redes de telecomunicaciones ucranianas, que han estado fuera de línea desde el 13 de marzo, poco antes del descubrimiento del nuevo limpiador.