اكتشف الباحثون نسخة أكثر خطورة وغزارة من البرمجيات الخبيثة التي تستخدمها المخابرات العسكرية الروسية لتعطيل خدمة النطاق العريض عبر الأقمار الصناعية في أوكرانيا قبل الغزو الروسي للبلاد في فبراير 2022.
البديل الجديد "حمض بور,"يحمل العديد من أوجه التشابه مع سابقته ولكن تم تجميعه لبنية X86، على عكس AcidRain الذي استهدف الأنظمة المستندة إلى MIPS. تتضمن الماسحة الجديدة أيضًا ميزات لاستخدامها ضد نطاق أوسع بكثير من الأهداف مقارنة بـ AcidRain، وفقًا للباحثين في SentinelOne الذين اكتشفوا التهديد.
قدرات تدميرية أوسع
"تشمل القدرات التدميرية الموسعة لـ AcidPour منطق Linux Unsorted Block Image (UBI) وDevice Mapper (DM)، الذي يؤثر على الأجهزة المحمولة، وإنترنت الأشياء، والشبكات، أو في بعض الحالات، أجهزة ICS،" كما يقول توم هيجل، كبير باحثي التهديدات في SentinelOne. "أجهزة مثل شبكات منطقة التخزين (SANs)، والتخزين المتصل بالشبكة (NAS)، ومصفوفات RAID المخصصة أصبحت الآن أيضًا في نطاق تأثيرات AcidPour."
يقول هيجل إن القدرة الجديدة الأخرى لـ AcidPour هي وظيفة الحذف الذاتي التي تمحو جميع آثار البرامج الضارة من الأنظمة التي تصيبها. يقول إن AcidPour عبارة عن ممسحة أكثر تطورًا نسبيًا بشكل عام من AcidRain، مشيرًا إلى الاستخدام المفرط للأخيرة لعملية التفرع والتكرار غير المبرر لعمليات معينة كأمثلة على ارتباكها العام.
اكتشف SentinelOne حمض AcidRain في فبراير 2022 بعد هجوم إلكتروني قطع اتصال حوالي 10,000 مودم عبر الأقمار الصناعية المرتبطة بشبكة KA-SAT الخاصة بمزود الاتصالات Viasat. أدى الهجوم إلى تعطيل خدمة النطاق العريض للمستهلكين لآلاف العملاء في أوكرانيا، ولعشرات الآلاف من الأشخاص في أوروبا. وخلص SentinelOne إلى أن البرمجيات الخبيثة كانت على الأرجح من عمل مجموعة مرتبطة بـ Sandworm (المعروفة أيضًا باسم APT 28 وFancy Bear وSofacy)، وهي عملية روسية مسؤولة عن العديد من الهجمات السيبرانية التخريبية في أوكرانيا.
اكتشف باحثو SentinelOne لأول مرة المتغير الجديد، AcidPour، في 16 مارس، لكنهم لم يلاحظوا أي شخص يستخدمه في هجوم فعلي حتى الآن.
علاقات الدودة الرملية
كشف تحليلهم الأولي للممسحة عن أوجه تشابه متعددة مع AcidRain، وهو ما أكده بعد ذلك بحث أعمق. تضمنت التداخلات الملحوظة التي اكتشفها SentinelOne استخدام AcidPour لنفس آلية إعادة التشغيل مثل AcidRain، والمنطق المماثل لمسح الدليل العودي.
وجد SentinelOne أيضًا أن آلية المسح المستندة إلى IOCTL الخاصة بـ AcidPour هي نفس آلية المسح في AcidRain وVPNFilter، منصة هجوم وحدات التي قامت بها وزارة العدل الأمريكية مرتبطة بالدودة الرملية. IOCTL هي آلية لمسح البيانات أو مسحها بشكل آمن من أجهزة التخزين عن طريق إرسال أوامر محددة إلى الجهاز.
"أحد الجوانب الأكثر إثارة للاهتمام في AcidPour هو أسلوب الترميز الذي يذكرنا بالأسلوب العملي CaddyWiper يستخدم على نطاق واسع ضد الأهداف الأوكرانية إلى جانب البرامج الضارة البارزة مثل إندوستروير 2"، قال سنتينل وان. كل من CaddyWiper وIndustroyer 2 عبارة عن برامج ضارة تستخدمها مجموعات حكومية مدعومة من روسيا في هجمات مدمرة على منظمات في أوكرانيا، حتى قبل الغزو الروسي للبلاد في فبراير 2022.
وقال SentinelOne إن فريق CERT الأوكراني قام بتحليل AcidPour ونسبه إلى UAC-0165، وهو أحد عناصر التهديد الذي يعد جزءًا من مجموعة Sandworm.
يعد AcidPour وAcidRain من بين العديد من أدوات المسح التي استخدمتها الجهات الروسية ضد أهداف أوكرانية في السنوات الأخيرة - وخاصة بعد بداية الحرب الحالية بين البلدين. على الرغم من أن جهة التهديد تمكنت من تعطيل الآلاف من أجهزة المودم في هجوم Viasat، إلا أن الشركة تمكنت من استعادتها وإعادة نشرها بعد إزالة البرامج الضارة.
ومع ذلك، في العديد من الحالات الأخرى، اضطرت المؤسسات إلى تجاهل الأنظمة بعد هجوم ماسح. أحد الأمثلة البارزة هو عام 2012 شمعون هجوم مساحي على شركة أرامكو السعودية أدى إلى شل حوالي 30,000 ألف نظام في الشركة.
وكما كان الحال مع شمعون وAcidRain، لم تكن الجهات الفاعلة في مجال التهديد بحاجة إلى جعل الماسحات متطورة لتكون فعالة. وذلك لأن الوظيفة الوحيدة للبرامج الضارة هي الكتابة فوق البيانات أو حذفها من الأنظمة وجعلها عديمة الفائدة تكتيكات المراوغة وتقنيات التشويش المرتبطة بسرقة البيانات وهجمات التجسس الإلكتروني ليست ضرورية.
إن أفضل دفاع عن برامج المسح – أو للحد من الأضرار الناجمة عنها – هو تنفيذ نفس النوع من الدفاعات المستخدمة في برامج الفدية. وهذا يعني وجود نسخ احتياطية للبيانات المهمة وضمان وجود خطط وقدرات قوية للاستجابة للحوادث.
يعد تجزئة الشبكة أمرًا أساسيًا أيضًا لأن المساحات تكون أكثر فعالية عندما تكون قادرة على الانتشار إلى أنظمة أخرى، لذا فإن هذا النوع من الوضع الدفاعي يساعد في إحباط الحركة الجانبية.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware
- :لديها
- :يكون
- :ليس
- 000
- 10
- 16
- 2012
- 2022
- 28
- 30
- 7
- a
- ماهرون
- وفقا
- الجهات الفاعلة
- يقدم
- بعد
- ضد
- يعرف أيضا باسم
- الكل
- جنبا إلى جنب
- أيضا
- من بين
- an
- تحليل
- حلل
- و
- أي شخص
- APT
- هندسة معمارية
- هي
- المنطقة
- AS
- الجوانب
- أسوشيتد
- At
- مهاجمة
- الهجمات
- النسخ الاحتياطي
- BE
- دب
- تتحمل
- لان
- كان
- قبل
- أفضل
- ما بين
- حظر
- على حد سواء
- النطاق العريض
- أوسع
- بصورة عامة
- لكن
- by
- قدرات
- قدرة
- حقيبة
- الحالات
- معين
- البرمجة
- مجال الاتصالات
- حول الشركة
- جمعت
- وخلص
- تم تأكيد
- مستهلك
- دولة
- البلد
- حرج
- حالياًّ
- العملاء
- الانترنت
- هجوم الانترنت
- تلف
- خطير
- البيانات
- مخصصة
- أعمق
- الدفاع
- الدفاعات
- القسم
- وزارة العدل
- نشر
- جهاز
- الأجهزة
- اكتشف
- تعطيل
- تعطلت
- التخريبية
- غطس
- DM
- الطُرق الفعّالة
- الآثار
- ضمان
- تجسس
- أوروبا
- حتى
- أمثلة
- مفرط
- موسع
- تصاميم راقية
- المميزات
- فبراير
- الاسم الأول
- متابعيك
- في حالة
- قسري
- وجدت
- تبدأ من
- وظيفة
- تجمع
- مجموعات
- يملك
- وجود
- he
- يساعد
- HTTPS
- مطابق
- صورة
- الآثار
- تنفيذ
- in
- حادث
- استجابة الحادث
- تتضمن
- شامل
- يشمل
- في البداية
- رؤيتنا
- وكتابة مواضيع مثيرة للاهتمام
- غزو
- قام المحفل
- IT
- انها
- الحياة السياسية في فرنسا
- م
- الاجتماعية
- القفل
- نوع
- مثل
- على الأرجح
- مما سيحدث
- لينكس
- منطق
- جعل
- البرمجيات الخبيثة
- تمكن
- كثير
- مارس
- يعني
- آلية
- عسكر
- الأكثر من ذلك
- أكثر
- حركة
- متعدد
- ناس
- ضروري
- بحاجة
- شبكة
- الشبكات
- الشبكات
- جديد
- جدير بالذكر
- الآن
- كثير
- of
- حاليا
- on
- ONE
- فقط
- بداية
- عملية
- عمليات
- or
- المنظمات
- أخرى
- الكلي
- جزء
- خاصة
- مجتمع
- المكان
- خطط
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- واقعي
- السلف
- قبل
- عملية المعالجة
- غزير الإنتاج
- مزود
- نطاق
- الفدية
- الأخيرة
- استعادة
- العودية
- نسبيا
- النشرات
- تذكري
- إزالة
- محصول
- الباحث
- الباحثين
- استجابة
- مسؤول
- أظهرت
- قوي
- روسيا
- الروسية
- s
- قال
- نفسه
- الأقمار الصناعية
- سعودي
- أرامكو السعودية
- يقول
- نطاق
- آمن
- تقسيم
- إرسال
- كبير
- الخدمة
- بشكل ملحوظ
- التشابه
- So
- بعض
- متطور
- محدد
- انتشار
- الولايه او المحافظه
- تخزين
- نمط
- لاحق
- أنظمة
- المستهدفة
- الأهداف
- تقنيات
- عشرات
- من
- أن
- •
- سرقة
- منهم
- then
- هم
- على الرغم من؟
- الآلاف
- التهديد
- الجهات التهديد
- إحباط
- كرافت
- إلى
- توم
- اثنان
- نوع
- عادة
- أوكرانيا
- الأوكرانية
- كشف
- مختلف
- لا مبرر له
- us
- وزارة العدل الأمريكية
- تستخدم
- مستعمل
- عديم الفائدة
- استخدام
- تستخدم
- متنوع
- الإصدار
- حرب
- وكان
- متى
- التي
- من الذى
- على نطاق أوسع
- مسح
- مع
- للعمل
- سنوات
- حتى الآن
- زفيرنت