Phần mềm độc hại xóa dữ liệu có tên AcidPour có thể đã được triển khai trong các cuộc tấn công nhắm vào bốn nhà cung cấp viễn thông ở Ukraine, những phát hiện mới từ SentinelOne cho thấy.
Công ty an ninh mạng cũng xác nhận mối liên hệ giữa phần mềm độc hại và AcidRain, gắn nó với các cụm hoạt động đe dọa liên quan đến tình báo quân sự Nga.
"Khả năng mở rộng của AcidPour sẽ cho phép nó vô hiệu hóa tốt hơn các thiết bị nhúng bao gồm mạng, IoT, lưu trữ lớn (RAID) và có thể là các thiết bị ICS chạy các bản phân phối Linux x86", các nhà nghiên cứu bảo mật Juan Andres Guerrero-Saade và Tom Hegel cho biết.
AcidPour là một biến thể của AcidRain, một cần gạt nước được sử dụng để làm cho modem Viasat KA-SAT có thể hoạt động khi bắt đầu cuộc chiến Nga-Ukraine vào đầu năm 2022 và làm tê liệt thông tin liên lạc quân sự của Ukraine.
Nó cũng được xây dựng dựa trên các tính năng sau này, trong khi nhắm mục tiêu các hệ thống Linux chạy trên kiến trúc x86. AcidRain, mặt khác, được biên dịch cho kiến trúc MIPS.
Trong khi AcidRain chung chung hơn, AcidPour kết hợp logic để nhắm mục tiêu các thiết bị nhúng, Mạng khu vực lưu trữ (SAN), thiết bị lưu trữ gắn mạng (NAS) và mảng RAID chuyên dụng.
"Một trong những khía cạnh thú vị nhất của AcidPour là phong cách mã hóa của nó, gợi nhớ đến CaddyWiper thực dụng được sử dụng rộng rãi để chống lại các mục tiêu Ukraine cùng với phần mềm độc hại đáng chú ý như Industroyer 2", các nhà nghiên cứu cho biết.
Phần mềm độc hại dựa trên C đi kèm với chức năng tự xóa ghi đè lên đĩa khi bắt đầu thực thi, đồng thời sử dụng phương pháp xóa thay thế tùy thuộc vào loại thiết bị.
AcidPour được cho là do một nhóm hacker được theo dõi là UAC-0165, có liên quan đến Sandworm và có thành tích tấn công cơ sở hạ tầng quan trọng của Ukraine.
Nhóm ứng phó khẩn cấp máy tính của Ukraine (CERT-UA), vào tháng 10/2023, đã ám chỉ đối thủ liên quan đến các cuộc tấn công nhắm vào ít nhất 11 nhà cung cấp dịch vụ viễn thông ở nước này trong khoảng thời gian từ tháng 5 đến tháng 9 năm ngoái.
"[AcidPour] có thể đã được sử dụng vào năm 2023," Hegel nói với The Hacker News. "Có khả năng nam diễn viên đã sử dụng các công cụ liên quan đến AcidRain / AcidPour một cách nhất quán trong suốt cuộc chiến. Một lỗ hổng trong quan điểm này nói lên mức độ hiểu biết sâu sắc mà công chúng thường phải đối mặt với các cuộc xâm nhập mạng - nói chung là khá hạn chế và không đầy đủ.
Mối quan hệ với Sandworm càng được củng cố bởi thực tế là một tác nhân đe dọa được gọi là Solntsepyok (hay còn gọi là Solntsepek hoặc SolntsepekZ) tuyên bố đã xâm nhập vào bốn nhà khai thác viễn thông khác nhau ở Ukraine và làm gián đoạn dịch vụ của họ vào ngày 13 tháng 3 năm 2024, ba ngày trước khi phát hiện ra AcidPour.
Solntsepyok, theo Cơ quan Truyền thông Đặc biệt Nhà nước Ukraine (SSSCIP), là một mối đe dọa dai dẳng tiên tiến của Nga (APT) có khả năng liên quan đến Tổng cục Chính của Bộ Tổng tham mưu các lực lượng vũ trang Liên bang Nga (GRU), cũng vận hành Sandworm.
Điều đáng nói là Solntsepyok cũng đã bị cáo buộc xâm nhập vào hệ thống của Kyivstar vào đầu tháng 5/2023. Vụ vi phạm được đưa ra ánh sáng vào cuối tháng 12.