AcidPour ablaktörlőt telepítettek az ukrán célpontok ellen
A kutatók korábban nem látott, Oroszországhoz köthető ablaktörlő-malware-t fedeztek fel, amelyet egy több mint két évvel ezelőtti művelet során használtak, amely több mint 10 000 műholdas modemet célzott meg elsősorban Ukrajnában, közvetlenül a szomszédos ország orosz inváziója előtt.
A Sentinel One biztonsági cég AcidPour névre keresztelt új kártevő feltűnő hasonlóságot mutat a 2022 márciusában azonosított AcidRain ablaktörlővel, amelyet a Viasat megerősített, hogy részt vett a modemek elleni támadásban a hónap elején. Az ablaktörlők olyan rosszindulatú programok, amelyek célja az adatok megsemmisítése vagy az eszközök használhatatlanná tétele. A Viasat arról számolt be, hogy az AcidRaint több mint 10 000 Eutelsat KA-SAT modemre telepítették, miután a támadók feltörték a vállalat magánhálózatát.
Hasonlóságok az AcidPour és a VPNFilter között
A Sentinel One, ugyanaz a cég, amely felfedezte az AcidRaint, technikai hasonlóságokat fedezett fel közötte és egy 2018-ban az orosz kormánynak tulajdonított rosszindulatú program között, amely VPNFilter néven ismert. Ez a kapcsolat arra utal, hogy az AcidRain és a 2018-as rosszindulatú program ugyanannak a fejlesztőcsapatnak a terméke lehet. Az AcidPour nemrégiben történt felfedezése tovább támasztja ezt, jelezve, hogy valószínűleg a Kremlhez kötődő csapat fejlesztette ki.
Az AcidPour és más rosszindulatú programok közötti technikai párhuzamok, mint például az újraindítási mechanizmus, a rekurzív címtártörlési logika és az IOCTL-en alapuló törlési mechanizmus tovább erősítik ezt az összefüggést. Az AcidPour más, a Sandworm csoportnak tulajdonított rosszindulatú szoftverekkel is megosztja a programozási jellemzőket, köztük az Industroyer2-vel és a CaddyWiperrel, amelyek mindkettő az ukrán infrastruktúrát célozta meg.
Az AcidPour programozási nyelve és technikái megfelelnek a Sandworm-mal kapcsolatos korábbi támadások során alkalmazottaknak, ami következetes működési módot jelez. Az ukrán hatóságok az AcidPour-t az UAC-0165-tel, a Sandwormhoz köthető szétszakadt csoporttal kapcsolják össze, amely az ukrán kritikus infrastruktúrák megcélzásáról ismert.
A Sentinel One kutatói arra utalnak, hogy az AcidPour-t az ukrán távközlési hálózatok megzavarására vetették be, amelyek március 13. óta offline állapotban vannak, röviddel az új ablaktörlő felfedezése előtt.