AcidPour Wiper utplacerad mot ukrainska mål
Forskare har upptäckt tidigare osynlig skadlig programvara associerad med Ryssland, som användes i en operation för över två år sedan riktad mot mer än 10 000 satellitmodem främst i Ukraina strax före Rysslands invasion av grannlandet.
Denna nya skadliga programvara, som heter AcidPour av säkerhetsföretaget Sentinel One, har slående likheter med AcidRain, en torkare identifierad i mars 2022, bekräftad av Viasat att ha varit inblandad i attacken mot dess modem tidigare samma månad. Torkare är skadliga program utformade för att förstöra data eller göra enheter oanvändbara. Viasat rapporterade att AcidRain installerades på över 10 000 Eutelsat KA-SAT-modem efter att angripare brutit mot företagets privata nätverk.
Likheter mellan AcidPour och VPNFilter
Sentinel One, samma företag som upptäckte AcidRain, noterade tekniska likheter mellan det och en skadlig kod som tillskrivs den ryska regeringen 2018, känd som VPNFilter. Denna koppling antyder att AcidRain och 2018 års skadliga program kan vara produkter från samma utvecklarteam. Den senaste upptäckten av AcidPour stöder detta ytterligare, vilket indikerar att det troligen utvecklades av det Kreml-anslutna teamet.
Tekniska paralleller mellan AcidPour och annan skadlig programvara, såsom deras omstartsmekanism, rekursiv katalogspolningslogik och raderingsmekanism baserad på IOCTL, förstärker denna koppling ytterligare. AcidPour delar också programmeringsegenskaper med andra skadliga program som tillskrivs Sandworm-gruppen, inklusive Industroyer2 och CaddyWiper, som båda riktade sig till ukrainsk infrastruktur.
Programmeringsspråket och teknikerna som används i AcidPour överensstämmer med de som använts i tidigare Sandmask-relaterade attacker, vilket indikerar ett konsekvent arbetssätt. Ukrainska myndigheter kopplar AcidPour till UAC-0165, en splittergrupp förknippad med Sandworm, känd för sin historia av att rikta in sig på ukrainsk kritisk infrastruktur.
Spekulationer från Sentinel One-forskare antyder att AcidPour kan ha satts i drift för att störa ukrainska telekommunikationsnätverk, som har varit offline sedan den 13 mars, strax innan upptäckten av den nya torkaren.