Limpador AcidPour implantado contra alvos ucranianos
Os pesquisadores descobriram um malware de limpeza anteriormente inédito associado à Rússia, que foi usado em uma operação há mais de dois anos visando mais de 10.000 modems de satélite, principalmente na Ucrânia, pouco antes da invasão russa do país vizinho.
Chamado AcidPour pela empresa de segurança Sentinel One, este novo malware tem semelhanças impressionantes com o AcidRain, um limpador identificado em março de 2022, confirmado pela Viasat como envolvido no ataque aos seus modems no início daquele mês. Wipers são programas maliciosos projetados para destruir dados ou inutilizar dispositivos. A Viasat relatou que o AcidRain foi instalado em mais de 10.000 modems Eutelsat KA-SAT depois que invasores violaram a rede privada da empresa.
Semelhanças entre AcidPour e VPNFilter
Sentinel One, a mesma empresa que descobriu o AcidRain, notou semelhanças técnicas entre ele e um malware atribuído ao governo russo em 2018, conhecido como VPNFilter. Esta conexão sugere que AcidRain e o malware de 2018 podem ser produtos da mesma equipe de desenvolvedores. A recente descoberta do AcidPour apoia ainda mais isto, indicando que foi provavelmente desenvolvido pela equipa afiliada ao Kremlin.
Paralelos técnicos entre o AcidPour e outros malwares, como seu mecanismo de reinicialização, lógica recursiva de limpeza de diretórios e mecanismo de limpeza baseado em IOCTL, reforçam ainda mais essa associação. O AcidPour também compartilha características de programação com outros malwares atribuídos ao grupo Sandworm, incluindo Industroyer2 e CaddyWiper, ambos direcionados à infraestrutura ucraniana.
A linguagem de programação e as técnicas usadas no AcidPour estão alinhadas com aquelas empregadas em ataques anteriores relacionados ao Sandworm, indicando um modus operandi consistente. As autoridades ucranianas ligam o AcidPour ao UAC-0165, um grupo dissidente associado ao Sandworm, conhecido por seu histórico de atacar infraestruturas críticas ucranianas.
Especulações dos pesquisadores do Sentinel One sugerem que o AcidPour pode ter sido implantado para interromper as redes de telecomunicações ucranianas, que estavam off-line desde 13 de março, pouco antes da descoberta do novo limpador.
