„AcidPour“ valytuvas įdiegtas prieš Ukrainos taikinius
Tyrėjai aptiko anksčiau neregėtą su Rusija siejamą kenkėjišką programinę įrangą, kuri buvo naudojama daugiau nei prieš dvejus metus vykdant operaciją, nukreiptą į daugiau nei 10 000 palydovinių modemų, daugiausia Ukrainoje prieš pat Rusijos invaziją į kaimyninę šalį.
Saugos firmos „Sentinel One“ pavadinta „AcidPour“, ši naujoji kenkėjiška programa yra labai panaši į „AcidRain“ – valytuvą, identifikuotą 2022 m. kovo mėn., kurį „Viasat“ patvirtino, kad anksčiau tą mėnesį dalyvavo atakoje prieš jos modemus. Valytuvai yra kenkėjiškos programos, skirtos sunaikinti duomenis arba padaryti įrenginius netinkamus naudoti. „Viasat“ pranešė, kad „AcidRain“ buvo įdiegta daugiau nei 10 000 „Eutelsat KA-SAT“ modemų po to, kai užpuolikai pažeidė įmonės privatų tinklą.
„AcidPour“ ir „VPNFilter“ panašumai
„Sentinel One“, ta pati įmonė, kuri atrado „AcidRain“, pastebėjo techninius panašumus tarp jos ir 2018 m. Rusijos vyriausybei priskirtos kenkėjiškos programos, žinomos kaip VPNFilter. Šis ryšys rodo, kad „AcidRain“ ir „2018“ kenkėjiška programa gali būti tos pačios kūrėjų komandos produktai. Neseniai atrastas AcidPour tai dar labiau patvirtina, o tai rodo, kad jį greičiausiai sukūrė su Kremliumi susijusi komanda.
Techninės paralelės tarp „AcidPour“ ir kitų kenkėjiškų programų, pvz., jų perkrovimo mechanizmas, rekursyvaus katalogo valymo logika ir IOCTL pagrįstas valymo mechanizmas, dar labiau sustiprina šią sąsają. „AcidPour“ taip pat dalijasi programavimo charakteristikomis su kitomis „Sandworm“ grupei priskiriamomis kenkėjiškomis programomis, įskaitant „Industroyer2“ ir „CaddyWiper“, kurios abi buvo skirtos Ukrainos infrastruktūrai.
„AcidPour“ naudojama programavimo kalba ir metodai atitinka ankstesnių su „Sandworm“ atakų metu naudotas technologijas, o tai rodo nuoseklų veikimo būdą. Ukrainos valdžia susieja „AcidPour“ su UAC-0165, suskilusia grupe, susijusia su „Sandworm“, žinoma dėl savo istorijos, kai taikėsi Ukrainos kritinėje infrastruktūroje.
„Sentinel One“ tyrėjų spėlionės rodo, kad „AcidPour“ galėjo būti panaudota siekiant sutrikdyti Ukrainos telekomunikacijų tinklus, kurie buvo neprisijungę nuo kovo 13 d., prieš pat naujojo valytuvo atradimą.