AcidPour Wiper utplassert mot ukrainske mål
Forskere har oppdaget tidligere usett skadelig programvare knyttet til Russland, som ble brukt i en operasjon for over to år siden rettet mot mer enn 10 000 satellittmodem primært i Ukraina rett før Russlands invasjon av nabolandet.
Denne nye skadevare, kalt AcidPour av sikkerhetsfirmaet Sentinel One, har slående likheter med AcidRain, en visker identifisert i mars 2022, bekreftet av Viasat å ha vært involvert i angrepet på modemene tidligere samme måned. Wipers er ondsinnede programmer utviklet for å ødelegge data eller gjøre enheter ubrukelige. Viasat rapporterte at AcidRain ble installert på over 10 000 Eutelsat KA-SAT-modemer etter at angripere brøt selskapets private nettverk.
Likheter mellom AcidPour og VPNFilter
Sentinel One, det samme firmaet som oppdaget AcidRain, bemerket tekniske likheter mellom det og en skadelig programvare som ble tilskrevet den russiske regjeringen i 2018, kjent som VPNFilter. Denne forbindelsen antyder at AcidRain og 2018 malware kan være produkter fra det samme utviklerteamet. Den nylige oppdagelsen av AcidPour støtter dette ytterligere, og indikerer at det sannsynligvis ble utviklet av det Kreml-tilknyttede teamet.
Tekniske paralleller mellom AcidPour og annen skadelig programvare, slik som deres omstartsmekanisme, rekursiv katalogslettingslogikk og slettingsmekanisme basert på IOCTL, forsterker denne sammenhengen ytterligere. AcidPour deler også programmeringsegenskaper med annen skadelig programvare som tilskrives Sandworm-gruppen, inkludert Industroyer2 og CaddyWiper, som begge var rettet mot ukrainsk infrastruktur.
Programmeringsspråket og teknikkene som brukes i AcidPour stemmer overens med de som ble brukt i tidligere Sandorm-relaterte angrep, noe som indikerer en konsistent modus operandi. Ukrainske myndigheter knytter AcidPour til UAC-0165, en splintgruppe knyttet til Sandworm, kjent for sin historie med å målrette ukrainsk kritisk infrastruktur.
Spekulasjoner fra Sentinel One-forskere antyder at AcidPour kan ha blitt distribuert for å forstyrre ukrainske telekommunikasjonsnettverk, som har vært offline siden 13. mars, kort tid før oppdagelsen av den nye viskeren.
