Diduga Malware ‘AcidPour’ Penghapus Data Rusia yang Menargetkan Perangkat Linux x86
2 mins read

Diduga Malware ‘AcidPour’ Penghapus Data Rusia yang Menargetkan Perangkat Linux x86

Varian baru dari malware penghapus data yang disebut AcidRain telah terdeteksi di alam liar dan dirancang khusus untuk menargetkan perangkat Linux x86.

Malware tersebut, yang dijuluki AcidPour, dikompilasi untuk perangkat Linux x86, kata Juan Andres Guerrero-Saade dari SentinelOne dalam serangkaian postingan di X.

“Varian baru […] adalah biner ELF yang dikompilasi untuk x86 (bukan MIPS) dan meskipun mengacu pada perangkat/string serupa, basis kodenya sangat berbeda,” kata Guerrero-Saade .

AcidRain pertama kali terungkap pada hari-hari awal perang Rusia-Ukraina, ketika malware disebarkan ke modem KA-SAT dari perusahaan satelit AS Viasat.

Biner ELF yang dikompilasi untuk arsitektur MIPS, mampu menghapus sistem file dan berbagai file perangkat penyimpanan yang diketahui dengan melakukan iterasi secara rekursif pada direktori umum untuk sebagian besar distribusi Linux.

Serangan siber tersebut kemudian dikaitkan dengan Rusia oleh negara-negara Lima Mata, bersama dengan Ukraina dan Uni Eropa.

AcidPour, demikian varian baru ini disebut, dirancang untuk menghapus konten dari array RAID dan sistem file Unsorted Block Image ( UBI ) melalui penambahan jalur file seperti “/dev/dm-XX” dan “/dev/ubiXX,” masing-masing .

Saat ini tidak jelas siapa yang menjadi korban, meskipun SentinelOne mengatakan telah memberi tahu lembaga-lembaga Ukraina. Skala pasti serangan tersebut saat ini tidak diketahui.

Penemuan ini sekali lagi menggarisbawahi penggunaan malware wiper untuk melumpuhkan target, bahkan ketika pelaku ancaman mendiversifikasi metode serangan mereka untuk mendapatkan dampak maksimal.

“Varian ini adalah varian AcidRain yang lebih kuat, mencakup lebih banyak jenis perangkat keras dan sistem operasi,” Rob Joyce, direktur keamanan siber di Badan Keamanan Nasional AS memperingatkan .

Perkembangan ini juga terjadi ketika AhnLab Security Intelligence Center (ASEC) mengungkapkan bahwa pelaku ancaman meluncurkan serangan brute force dan kamus terhadap sistem Linux yang tidak diamankan dengan baik untuk membuat akun pintu belakang agar dapat diakses terus-menerus.

“Penyerang dapat menggunakan berbagai metode serangan untuk menambahkan akun baru, termasuk mengubah kata sandi akun root yang ada dan mendaftarkan kunci SSH untuk masuk tanpa memasukkan kata sandi,” kata ASEC .

Akses tersebut kemudian disalahgunakan untuk menginstal berbagai jenis malware seperti ransomware, penambang mata uang kripto, dan bot DDoS seperti Tsunami , ShellBot , dan penambang KONO DIO DA .

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *