Peretas Rusia Mungkin Menargetkan Telekomunikasi Ukraina dengan Malware ‘AcidPour’ yang Ditingkatkan
Malware penghapus data yang disebut AcidPour mungkin telah digunakan dalam serangan yang menargetkan empat penyedia telekomunikasi di Ukraina, menurut temuan baru dari SentinelOne.
Perusahaan keamanan siber tersebut juga mengkonfirmasi hubungan antara malware tersebut dan AcidRain, dan mengaitkannya dengan kelompok aktivitas ancaman yang terkait dengan intelijen militer Rusia.
“Kemampuan AcidPour yang diperluas akan memungkinkannya menonaktifkan perangkat tertanam dengan lebih baik termasuk jaringan, IoT, penyimpanan besar (RAID), dan mungkin perangkat ICS yang menjalankan distribusi Linux x86,” kata peneliti keamanan Juan Andres Guerrero-Saade dan Tom Hegel .
AcidPour adalah varian dari AcidRain , wiper yang digunakan untuk membuat modem Viasat KA-SAT dapat beroperasi pada awal perang Rusia-Ukraina pada awal tahun 2022 dan melumpuhkan komunikasi militer Ukraina.
Itu juga dibangun berdasarkan fitur-fitur yang terakhir, sambil menargetkan sistem Linux yang berjalan pada arsitektur x86. AcidRain, di sisi lain, dikompilasi untuk arsitektur MIPS.
Jika AcidRain lebih umum, AcidPour menggabungkan logika untuk menargetkan perangkat tertanam, Storage Area Networks (SAN), peralatan Network Attached Storage (NAS), dan susunan RAID khusus.
Meskipun demikian, kedua jenis tersebut tumpang tindih dalam hal penggunaan panggilan reboot dan metode yang digunakan untuk penghapusan direktori rekursif. Yang juga identik adalah mekanisme penghapusan perangkat berbasis IOCTL yang juga memiliki kesamaan dengan malware lain yang terkait dengan Sandworm yang dikenal sebagai VPNFilter.
“Salah satu aspek paling menarik dari AcidPour adalah gaya pengkodeannya, mengingatkan pada CaddyWiper pragmatis yang banyak digunakan untuk menyerang target Ukraina bersama dengan malware terkenal seperti Industroyer 2 ,” kata para peneliti.
Malware berbasis C ini hadir dengan fungsi penghapusan mandiri yang menimpa dirinya sendiri pada disk pada awal eksekusinya, dan juga menggunakan pendekatan penghapusan alternatif tergantung pada jenis perangkat.
AcidPour telah dikaitkan dengan kru peretasan yang dilacak sebagai UAC-0165, yang dikaitkan dengan Sandworm dan memiliki rekam jejak menyerang infrastruktur penting Ukraina .
Tim Tanggap Darurat Komputer Ukraina (CERT-UA), pada bulan Oktober 2023, melibatkan musuh dalam serangan yang menargetkan setidaknya 11 penyedia layanan telekomunikasi di negara tersebut antara Mei dan September tahun lalu.
“[AcidPour] bisa saja digunakan pada tahun 2023,” kata Hegel kepada The Hacker News. “Kemungkinan besar aktor tersebut telah menggunakan alat yang berhubungan dengan AcidRain/AcidPour secara konsisten selama perang. Kesenjangan dalam perspektif ini menunjukkan tingkat pemahaman masyarakat terhadap intrusi dunia maya – umumnya sangat terbatas dan tidak lengkap.”
Hubungan dengan Sandworm semakin diperkuat oleh fakta bahwa pelaku ancaman yang dikenal sebagai Solntsepyok (alias Solntsepek atau SolntsepekZ) mengaku telah menyusup ke empat operator telekomunikasi berbeda di Ukraina dan mengganggu layanan mereka pada 13 Maret 2024, tiga hari sebelum penemuannya. Tuang Asam.
Solntsepyok, menurut Layanan Komunikasi Khusus Negara Ukraina (SSSCIP), adalah ancaman persisten tingkat lanjut (APT) Rusia yang kemungkinan memiliki hubungan dengan Direktorat Utama Staf Umum Angkatan Bersenjata Federasi Rusia (GRU), yang juga beroperasi. cacing pasir.
Perlu diperhatikan bahwa Solntsepyok juga telah dituduh meretas sistem Kyivstar pada awal Mei 2023. Pelanggaran tersebut terungkap pada akhir Desember.
Meskipun saat ini tidak jelas apakah AcidPour digunakan dalam rangkaian serangan terbaru, penemuan ini menunjukkan bahwa pelaku ancaman terus menyempurnakan taktik mereka untuk melakukan serangan destruktif dan menimbulkan dampak operasional yang signifikan.
“Perkembangan ini menunjukkan tidak hanya penyempurnaan dalam kemampuan teknis para pelaku ancaman ini tetapi juga pendekatan mereka yang diperhitungkan untuk memilih target yang memaksimalkan dampak lanjutan, mengganggu infrastruktur dan komunikasi penting,” kata para peneliti.