ウクライナの標的に対してAcidPourワイパーが配備される
研究者らは、ロシアに関連したこれまで未確認のワイパーマルウェアを発見した。このワイパーマルウェアは、ロシアによる隣国侵攻の直前に、主にウクライナで1万台以上の衛星モデムを標的とした2年以上前の作戦に使用された。
セキュリティ会社 Sentinel One によって AcidPour と名付けられたこの新しいマルウェアは、2022 年 3 月に特定されたワイパーである AcidRain に酷似しており、Viasat は同月初めにモデムへの攻撃に関与していたことを確認しました。ワイパーは、データを破壊したり、デバイスを使用不能にするために設計された悪意のあるプログラムです。 Viasat は、攻撃者が同社のプライベート ネットワークに侵入した後、10,000 台を超える Eutelsat KA-SAT モデムに AcidRain がインストールされたと報告しました。
AcidPour と VPNFilter の類似点
AcidRain を発見した同じ企業である Sentinel One は、これと 2018 年にロシア政府が作成したとされる VPNFilter として知られるマルウェアとの技術的な類似点に注目しました。この関連性は、AcidRain と 2018 年のマルウェアが同じ開発者チームの製品である可能性を示唆しています。 AcidPour の最近の発見はこれをさらに裏付けており、これがクレムリン関連チームによって開発された可能性が高いことを示しています。
AcidPour と他のマルウェアの技術的な類似点 (再起動メカニズム、再帰的ディレクトリ消去ロジック、IOCTL に基づく消去メカニズムなど) により、この関連性がさらに強化されます。 AcidPour は、Sandworm グループに起因するとされる他のマルウェア (Industroyer2 や CaddyWiper など) ともプログラミングの特徴を共有しており、どちらもウクライナのインフラストラクチャを標的にしていました。
AcidPour で使用されているプログラミング言語と手法は、以前の Sandworm 関連の攻撃で使用されたものと一致しており、一貫した手口が示されています。ウクライナ当局は、AcidPour を、ウクライナの重要インフラを標的にした歴史で知られる Sandworm に関連する分裂グループ UAC-0165 と関連付けています。
Sentinel One の研究者らの推測によると、AcidPour は、新しいワイパーが発見される直前の 3 月 13 日以来、オフラインになっているウクライナの電気通信ネットワークを混乱させるために導入された可能性があると示唆されています。