Il pulitore AcidPour schierato contro obiettivi ucraini
I ricercatori hanno scoperto un malware wiper mai visto prima associato alla Russia, che è stato utilizzato in un'operazione più di due anni fa contro più di 10.000 modem satellitari principalmente in Ucraina, poco prima dell'invasione russa del paese vicino.
Chiamato AcidPour dalla società di sicurezza Sentinel One, questo nuovo malware ha sorprendenti somiglianze con AcidRain, un wiper identificato nel marzo 2022, che Viasat ha confermato essere stato coinvolto nell'attacco ai suoi modem all'inizio di quel mese. I wiper sono programmi dannosi progettati per distruggere dati o rendere inutilizzabili i dispositivi. Viasat ha riferito che AcidRain è stato installato su oltre 10.000 modem Eutelsat KA-SAT dopo che gli aggressori hanno violato la rete privata dell'azienda.
Somiglianze tra AcidPour e VPNFilter
Sentinel One, la stessa azienda che ha scoperto AcidRain, ha notato somiglianze tecniche tra questo e un malware attribuito al governo russo nel 2018, noto come VPNFilter. Questa connessione suggerisce che AcidRain e il malware del 2018 potrebbero essere prodotti dello stesso team di sviluppatori. La recente scoperta di AcidPour supporta ulteriormente ciò, indicando che è stato probabilmente sviluppato dal team affiliato al Cremlino.
I parallelismi tecnici tra AcidPour e altri malware, come il meccanismo di riavvio, la logica ricorsiva di cancellazione delle directory e il meccanismo di cancellazione basato su IOCTL, rafforzano ulteriormente questa associazione. AcidPour condivide inoltre le caratteristiche di programmazione con altri malware attribuiti al gruppo Sandworm, tra cui Industroyer2 e CaddyWiper, che hanno entrambi preso di mira l'infrastruttura ucraina.
Il linguaggio di programmazione e le tecniche utilizzate in AcidPour sono in linea con quelli impiegati nei precedenti attacchi legati a Sandworm, indicando un modus operandi coerente. Le autorità ucraine collegano AcidPour all'UAC-0165, un gruppo scissionista associato a Sandworm, noto per la sua storia di attacchi alle infrastrutture critiche ucraine.
Le speculazioni dei ricercatori di Sentinel One suggeriscono che AcidPour potrebbe essere stato utilizzato per interrompere le reti di telecomunicazioni ucraine, che sono offline dal 13 marzo, poco prima della scoperta del nuovo tergicristallo.