Никогда ранее не встречавшийся вайпер данных мог быть использован Россией против Украины

Исследователи обнаружили ранее не встречавшуюся вредоносную программу Wiper, связанную с Кремлем, а также операцию, проведенную два года назад, в результате которой было уничтожено более 10 000 спутниковых модемов, расположенных в основном на Украине, накануне вторжения России в соседнюю страну.

AcidPour, как исследователи из охранной компании Sentinel One назвали новое вредоносное ПО, имеет поразительное сходство с Кислотный дождь, вайпер, обнаруженный в марте 2022 года и который, как подтвердила Viasat, использовался при атаке на ее модемы ранее в том же месяце. Wipers — это вредоносные приложения, предназначенные для уничтожения сохраненных данных или вывода устройств из строя. Viasat сообщила, что AcidRain был установлен на более чем 10 000 модемах Eutelsat KA-SAT, используемых провайдером широкополосного доступа за семь дней до обнаружения Wiper в марте 2022 года. AcidRain был установлен на устройства после того, как злоумышленники получили доступ к частной сети компании.

Sentinel One, которая также обнаружила AcidRain, заявила тогда, что более ранний вайпер имел достаточно технических совпадений с вредоносным ПО, которое правительство США приписывало российскому правительству в 2018 году, поэтому вполне вероятно, что AcidRain и вредоносное ПО 2018 года, известное как VPNFilter, были тесно связаны. той же команде разработчиков. В свою очередь, отчет Sentinel One в четверг, в котором отмечается сходство между AcidRain и AcidPour, свидетельствует о том, что AcidPour также был создан разработчиками, работавшими по поручению Кремля.

Технические сходства включают в себя:

• Использование того же механизма перезагрузки
• Точная логика рекурсивной очистки каталогов
• Одинаковый ИОКТЛ-основанный механизм очистки.

Программное обеспечение AcidPour также имеет сходство с другим вредоносным ПО, приписываемым Sandworm: CaddyWiper, которое использовалось против различных целей в Украине.

«AcidPour программируется на C, не полагаясь на статически скомпилированные библиотеки или импорт», — отмечается в отчете в четверг. «Большая часть функциональности реализуется посредством прямых системных вызовов, многие из которых вызываются с помощью встроенного ассемблера и кодов операций». Разработчики CaddyWiper использовали тот же подход.

Подтверждая версию о том, что AcidPour была создана той же российской группировкой, которая стояла за предыдущими атаками на Украину, представитель Государственной службы специальной связи и защиты информации Украины рассказал Cyberscoop что AcidPour был связан с UAC-0165, отколовшейся группой, связанной с Sandworm (гораздо более крупной группой угроз, управляемой российской военной разведкой ГРУ). Представители Государственной службы специальной связи и защиты информации Украины не сразу ответили на письмо с просьбой прокомментировать этот пост.

Sandworm имеет давнюю историю атак на критически важную инфраструктуру Украины. украинские чиновники сказал в сентябре прошлого года что UAC-0165 регулярно поддерживает фальшивых хактивистов, чтобы взять на себя ответственность за атаки, которые осуществляет группа.

Исследователи Sentinel One Хуан Андрес Герреро-Сааде и Том Хегель предположили, что AcidPour использовался для нарушения работы нескольких украинских телекоммуникационных сетей, которые были отключены с 13 марта, за три дня до того, как исследователи обнаружили новый вайпер. Они указывают на заявления человека, известного как СолнцепекЗ, сделанного в Telegram, который взял на себя ответственность за хакерские атаки, в результате которых были уничтожены Triangulum, консорциум, предоставляющий телефонные и интернет-услуги под брендом Triacom, и Мисто ТВ.

Недельное отключение было подтверждено анекдотично и аналитической фирмой Network. Кентик и сеть доставки контента Облачное сияние, причем последнее указывает на то, что сайты оставались неработоспособными на момент публикации этого сообщения на Ars. По состоянию на полдень четверга по калифорнийскому времени на сайте Мисто-ТВ появилось следующее уведомление об отключении сети:

«В настоящее время мы не можем подтвердить, что AcidPour использовался для нарушения работы этих интернет-провайдеров», — написали Герреро-Сааде и Гегель в пост в четверг. «Продолжительность сбоя предполагает более сложную атаку, чем простой DDoS или неприятный сбой. AcidPour, загруженный через 3 дня после начала сбоя, вполне соответствует требованиям необходимого набора инструментов. Если это так, то это может послужить еще одним связующим звеном между этой личностью хактивиста и конкретными операциями ГРУ».

Исследователи добавили:

«Переход от AcidRain к AcidPour с его расширенными возможностями подчеркивает стратегическое намерение оказать значительное оперативное воздействие. Этот прогресс демонстрирует не только совершенствование технических возможностей этих субъектов угроз, но и их расчетливый подход к выбору целей, которые максимизируют последующие эффекты, нарушая критическую инфраструктуру и коммуникации».