AcidPour Wiper применяется против украинских объектов
Исследователи обнаружили ранее невиданную вредоносную программу Wiper, связанную с Россией, которая использовалась в операции более двух лет назад, нацеленной на более чем 10 000 спутниковых модемов, главным образом на Украине, незадолго до вторжения России в соседнюю страну.
Это новое вредоносное ПО, получившее название AcidPour от охранной фирмы Sentinel One, поразительно похоже на AcidRain, вайпер, обнаруженный в марте 2022 года и ранее в том же месяце Viasat подтвердил, что он участвовал в атаке на ее модемы. Wipers — это вредоносные программы, предназначенные для уничтожения данных или вывода устройств из строя. Компания Viasat сообщила, что AcidRain был установлен на более чем 10 000 модемах Eutelsat KA-SAT после того, как злоумышленники взломали частную сеть компании.
Сходства между AcidPour и VPNFilter
Sentinel One, та же фирма, которая обнаружила AcidRain, отметила техническое сходство между ним и вредоносным ПО, приписываемым российскому правительству в 2018 году, известным как VPNFilter. Эта связь предполагает, что AcidRain и вредоносное ПО 2018 года могут быть продуктами одной и той же команды разработчиков. Недавнее открытие AcidPour еще раз подтверждает это, указывая на то, что он, вероятно, был разработан командой, связанной с Кремлем.
Технические параллели между AcidPour и другими вредоносными программами, такие как механизм перезагрузки, рекурсивная логика очистки каталогов и механизм очистки на основе IOCTL, еще больше усиливают эту связь. AcidPour также имеет схожие характеристики программирования с другими вредоносными программами, приписываемыми группе Sandworm, включая Industroyer2 и CaddyWiper, оба из которых нацелены на украинскую инфраструктуру.
Язык программирования и методы, используемые в AcidPour, соответствуют тем, которые применялись в предыдущих атаках, связанных с Sandworm, что указывает на единообразие методов работы. Украинские власти связывают AcidPour с UAC-0165, отколовшейся группой, связанной с Sandworm, известной своей историей атак на критически важную инфраструктуру Украины.
По предположениям исследователей Sentinel One, AcidPour мог быть использован для нарушения работы украинских телекоммуникационных сетей, которые были отключены от сети с 13 марта, незадолго до обнаружения нового вайпера.