AcidPour Wiper

Eine bedrohliche Software namens AcidPour wurde möglicherweise bei Angriffen auf vier Telekommunikationsanbieter in der Ukraine eingesetzt. Cybersicherheitsexperten haben Verbindungen zwischen dieser Malware und AcidRain identifiziert und sie mit Bedrohungsoperationen im Zusammenhang mit dem russischen Militärgeheimdienst in Verbindung gebracht. AcidPour verfügt über erweiterte Funktionalitäten, wodurch es in der Lage ist, verschiedene eingebettete Geräte wie Netzwerkgeräte, Geräte für das Internet der Dinge (IoT), große Speichersysteme (RAIDs) und möglicherweise industrielle Steuerungssysteme (ICS), die auf Linux x86-Distributionen laufen, außer Gefecht zu setzen.

Insbesondere ist AcidPour ein Derivat von AcidRain, einem Wischer, der ursprünglich zur Sabotage von Viasat KA-SAT-Modems in der Anfangsphase des russisch-ukrainischen Konflikts im Jahr 2022 eingesetzt wurde und die militärischen Kommunikationsnetze der Ukraine störte.

AcidPour ist mit einem erweiterten Satz aufdringlicher Funktionen ausgestattet

Die AcidPour-Malware erweitert die Fähigkeiten ihres Vorgängers, indem sie speziell auf Linux-Systeme abzielt, die auf einer x86-Architektur laufen. Im Gegensatz dazu ist AcidRain auf die MIPS-Architektur zugeschnitten. Während AcidRain eher allgemeiner Natur war, enthält AcidPour eine spezielle Logik für eingebettete Geräte, Storage Area Networks (SANs), Network Attached Storage (NAS)-Appliances und dedizierte RAID-Arrays.

Dennoch weisen beide Varianten Gemeinsamkeiten bei der Verwendung von Neustartaufrufen und rekursiven Methoden zum Löschen von Verzeichnissen auf. Sie verwenden außerdem einen auf IOCTLs basierenden Gerätelöschmechanismus, der Ähnlichkeit mit einer anderen mit Sandworm verbundenen Malware namens VPNFilter aufweist.

Ein faszinierender Aspekt von AcidPour ist sein Codierungsstil, der an die praktische Malware CaddyWiper erinnert, die neben namhaften Bedrohungen wie Industroyer2 häufig gegen ukrainische Ziele eingesetzt wird. Diese C-basierte Malware verfügt über eine Selbstlöschfunktion, die sich zu Beginn der Ausführung selbst auf der Festplatte überschreibt und je nach Gerätetyp auch alternative Löschansätze implementiert.

AcidPour wurde mit einer mit Russland verbündeten Hackergruppe in Verbindung gebracht

Es wird angenommen, dass AcidPour von einer Hackergruppe namens UAC-0165 eingesetzt wurde, die mit Sandworm verbunden ist und in der Vergangenheit kritische Infrastrukturen in der Ukraine angegriffen hat.

Im Oktober 2023 hat das Computer Emergency Response Team der Ukraine (CERT-UA) diesen Gegner in Angriffe auf mindestens 11 Telekommunikationsdienstleister im Land zwischen Mai und September des Vorjahres verwickelt. Möglicherweise wurde bei diesen Angriffen AcidPour eingesetzt, was darauf hindeutet, dass während des gesamten Konflikts konsequent Tools im Zusammenhang mit AcidRain/AcidPour eingesetzt wurden.

Um die Verbindung zu Sandworm noch weiter zu stärken, übernahm ein Bedrohungsakteur namens Solntsepyok (auch als Solntsepek oder SolntsepekZ bezeichnet) die Verantwortung für die Infiltration von vier ukrainischen Telekommunikationsbetreibern und die Unterbrechung ihrer Dienste am 13. März 2024, nur drei Tage vor der Entdeckung von AcidPour.

Nach Angaben des staatlichen Sonderkommunikationsdienstes der Ukraine (SSSCIP) handelt es sich bei Solntsepyok um eine russische Advanced Persistent Threat (APT) mit wahrscheinlichen Verbindungen zur Hauptdirektion des Generalstabs der Streitkräfte der Russischen Föderation (GRU), die Sandworm überwacht.

Es ist erwähnenswert, dass Solntsepyok bereits im Mai 2023 beschuldigt wurde, in die Systeme von Kyivstar eingedrungen zu sein, wobei der Verstoß Ende Dezember desselben Jahres ans Licht kam.

Es bleibt zwar ungewiss, ob AcidPour in der jüngsten Angriffswelle eingesetzt wurde, seine Entdeckung lässt jedoch darauf schließen, dass Bedrohungsakteure ihre Taktiken kontinuierlich verfeinern, um zerstörerische Angriffe durchzuführen und erhebliche Betriebsunterbrechungen zu verursachen.

Diese Entwicklung verdeutlicht nicht nur eine Verbesserung der technischen Fähigkeiten dieser Bedrohungsakteure, sondern unterstreicht auch ihren strategischen Ansatz bei der Auswahl von Zielen, um die Auswirkungen zu verstärken und dadurch kritische Infrastruktur und Kommunikation zu stören.