AcidPour Wiper

AcidPour として知られる脅威的なソフトウェアが、ウクライナの通信プロバイダー 4 社を狙った攻撃に利用された可能性があります。サイバーセキュリティの専門家は、このマルウェアとAcidRainの関係を特定し、ロシアの軍事諜報活動に関連した脅威作戦と関連付けています。 AcidPour は強化された機能を誇り、ネットワーク機器、モノのインターネット (IoT) デバイス、大規模ストレージ システム (RAID)、および Linux x86 ディストリビューション上で実行される可能性のある産業用制御システム (ICS) などのさまざまな組み込みデバイスを無力化することに長けています。

特に、AcidPour は、2022 年のロシアとウクライナ紛争の初期段階で Viasat KA-SAT モデムを妨害し、ウクライナの軍事通信ネットワークを妨害するために最初に使用されたワイパーである AcidRain の派生製品です。

AcidPour には拡張された一連の侵入機能が装備されています

AcidPour マルウェアは、x86 アーキテクチャで動作する Linux システムを特にターゲットにすることで、以前のマルウェアの機能を拡張しています。対照的に、AcidRain は MIPS アーキテクチャに合わせて調整されています。 AcidRain は本質的により汎用的なものでしたが、AcidPour には組み込みデバイス、ストレージ エリア ネットワーク (SAN)、ネットワーク接続ストレージ (NAS) アプライアンス、専用 RAID アレイをターゲットとする特殊なロジックが組み込まれています。

それにもかかわらず、両方の亜種には、再起動呼び出しと再帰的なディレクトリ消去メソッドの利用という点で共通点があります。また、IOCTL に基づくデバイス ワイピング メカニズムも採用しています。これは、 VPNFilterとして知られるSandwormに関連する別のマルウェアに似ています。

AcidPour の興味深い側面の 1 つは、そのコーディング スタイルで、実用的なCaddyWiperマルウェアを彷彿とさせます。このマルウェアは、 Industroyer2などの注目すべき脅威と並んで、ウクライナの標的に対して広く使用されてきました。この C ベースのマルウェアには、実行開始時にディスク上で自身を上書きする自己削除機能が含まれており、デバイスの種類に応じて代替のワイプ アプローチも実装されています。

AcidPourはロシア系ハッキンググループと関係があると判明

AcidPour は、UAC-0165 として特定されるハッカー グループによって展開されたと考えられています。このグループは Sandworm と提携しており、ウクライナの重要インフラを標的にした経歴があります。

2023 年 10 月、ウクライナのコンピュータ緊急対応チーム (CERT-UA) は、この敵が前年 5 月から 9 月にかけて国内の少なくとも 11 社の電気通信サービス プロバイダーに対する攻撃に関与したことを明らかにしました。 AcidPour はこれらの攻撃中に使用された可能性があり、紛争中を通じて AcidRain/AcidPour 関連のツールが一貫して使用されたことを示唆しています。

Sandworm との関係をさらに強化するのは、Solntsepyok (Solntsepek または SolntsepekZ とも呼ばれる) として知られる脅威アクターが、AcidPour が発見されるわずか 3 日前の 2024 年 3 月 13 日に、ウクライナの通信事業者 4 社に侵入し、サービスを妨害したと犯行声明を出したことです。

ウクライナ国家特別通信局 (SSSCIP) によると、ソルンツェピョクはロシアの高度持続的脅威 (APT) であり、サンドワームを監督するロシア連邦軍参謀本部 (GRU) と関係がある可能性があります。

ソルンツェピョク氏は2023年5月にもキエフスターのシステムに侵入した容疑で告発されており、その年の12月下旬に違反が発覚したことは注目に値する。

AcidPour が最近の攻撃の波で利用されたかどうかは依然として不明ですが、その発見は、脅威アクターが破壊的な攻撃を実行し、重大な運用上の混乱を引き起こすために戦術を継続的に洗練していることを示唆しています。

この進化は、これらの脅威アクターの技術的能力の強化を強調するだけでなく、波及効果を増幅し、それによって重要なインフラストラクチャと通信を混乱させるターゲットを選択する際の戦略的アプローチも強調します。