針對烏克蘭目標部署 AcidPour 雨刷
研究人員發現了與俄羅斯相關的前所未見的擦除惡意軟體,該惡意軟體在兩年多前的一次行動中使用,主要針對烏克蘭的 10,000 多個衛星調製解調器,就在俄羅斯入侵鄰國之前。
這款新惡意軟體被安全公司 Sentinel One 命名為 AcidPour,與 2022 年 3 月發現的 AcidRain 擦除器驚人相似,Viasat 證實該惡意軟體參與了當月早些時候對其調製解調器的攻擊。擦除器是旨在破壞資料或使裝置無法使用的惡意程式。 Viasat 報告稱,在攻擊者破壞了該公司的專用網路後,AcidRain 被安裝在超過 10,000 個 Eutelsat KA-SAT 數據機上。
AcidPour 與 VPNFilter 之間的相似之處
發現 AcidRain 的同一家公司 Sentinel One 指出,它與 2018 年俄羅斯政府發布的一款名為 VPNFilter 的惡意軟體在技術上有相似之處。這種聯繫表明 AcidRain 和 2018 年惡意軟體可能是同一開發團隊的產品。最近發現的 AcidPour 進一步支持了這一點,表明它很可能是由克里姆林宮附屬團隊開發的。
AcidPour 與其他惡意軟體之間的技術相似之處,例如重啟機制、遞歸目錄擦除邏輯和基於 IOCTL 的擦除機制,進一步強化了這種關聯。 AcidPour 也與 Sandworm 組織的其他惡意軟體具有相同的程式設計特徵,包括 Industroyer2 和 CaddyWiper,這兩個惡意軟體都針對烏克蘭基礎設施。
AcidPour 中使用的程式語言和技術與先前的 Sandworm 相關攻擊中使用的程式語言和技術一致,表明其作案手法是一致的。烏克蘭當局將 AcidPour 與 UAC-0165 聯繫起來,UAC-0165 是一個與 Sandworm 相關的分支組織,該組織因其針對烏克蘭關鍵基礎設施的歷史而聞名。
Sentinel One 研究人員推測,AcidPour 可能被部署來破壞烏克蘭電信網絡,該網絡自 3 月 13 日(即新雨刷被發現前不久)以來一直處於離線狀態。