Wycieraczka AcidPour rozmieszczona przeciwko celom ukraińskim
Badacze odkryli wcześniej niewidziane złośliwe oprogramowanie wycieraczek powiązane z Rosją, które ponad dwa lata temu wykorzystano w operacji wymierzonej w ponad 10 000 modemów satelitarnych, głównie na Ukrainie, tuż przed inwazją Rosji na sąsiedni kraj.
To nowe szkodliwe oprogramowanie, nazwane AcidPour przez firmę zajmującą się bezpieczeństwem Sentinel One, jest uderzająco podobne do AcidRain, wycieraczki zidentyfikowanej w marcu 2022 r., co do której firma Viasat potwierdziła, że brała udział w ataku na jej modemy na początku tego miesiąca. Wycieraczki to złośliwe programy zaprojektowane w celu niszczenia danych lub uniemożliwiania korzystania z urządzeń. Firma Viasat poinformowała, że AcidRain został zainstalowany na ponad 10 000 modemów Eutelsat KA-SAT po tym, jak atakujący włamali się do prywatnej sieci firmy.
Podobieństwa między AcidPour i VPNFilter
Sentinel One, ta sama firma, która odkryła AcidRain, zauważyła podobieństwa techniczne między nim a złośliwym oprogramowaniem przypisywanym rosyjskiemu rządowi w 2018 roku, znanym jako VPNFilter. To powiązanie sugeruje, że AcidRain i szkodliwe oprogramowanie z 2018 r. mogą być produktami tego samego zespołu programistów. Niedawne odkrycie AcidPour dodatkowo to potwierdza, wskazując, że został on prawdopodobnie opracowany przez zespół powiązany z Kremlem.
Techniczne podobieństwa pomiędzy AcidPour i innym złośliwym oprogramowaniem, takie jak mechanizm ponownego uruchamiania, rekurencyjna logika czyszczenia katalogów i mechanizm czyszczenia oparty na IOCTL, dodatkowo wzmacniają to powiązanie. AcidPour ma także wspólne cechy programowe z innymi szkodliwymi programami przypisywanymi grupie Sandworm, w tym Industroyer2 i CaddyWiper, które atakowały ukraińską infrastrukturę.
Język programowania i techniki stosowane w AcidPour są zgodne z tymi zastosowanymi w poprzednich atakach związanych z robakiem Sandworm, co wskazuje na spójny sposób działania. Władze ukraińskie łączą AcidPour z UAC-0165, odłamową grupą powiązaną z Sandworm, znaną z historii ataków na ukraińską infrastrukturę krytyczną.
Spekulacje badaczy Sentinel One sugerują, że AcidPour mógł zostać zastosowany w celu zakłócenia ukraińskich sieci telekomunikacyjnych, które były wyłączone od 13 marca, na krótko przed odkryciem nowego wycieracza.
