Οι ερευνητές ανακάλυψαν μια πιο επικίνδυνη και παραγωγική έκδοση του κακόβουλου λογισμικού υαλοκαθαριστήρα που χρησιμοποιήθηκε από τη ρωσική στρατιωτική υπηρεσία πληροφοριών για τη διακοπή της δορυφορικής ευρυζωνικής υπηρεσίας στην Ουκρανία λίγο πριν από την εισβολή της Ρωσίας στη χώρα τον Φεβρουάριο του 2022.
Η νέα παραλλαγή, "Acid Pour,Έχει πολλαπλές ομοιότητες με τον προκάτοχό του, αλλά έχει μεταγλωττιστεί για αρχιτεκτονική X86, σε αντίθεση με το AcidRain που στόχευε συστήματα που βασίζονται σε MIPS. Ο νέος υαλοκαθαριστήρας περιλαμβάνει επίσης χαρακτηριστικά για τη χρήση του έναντι ενός σημαντικά ευρύτερου φάσματος στόχων από το AcidRain, σύμφωνα με ερευνητές της SentinelOne που ανακάλυψαν την απειλή.
Ευρύτερες Καταστροφικές Ικανότητες
«Οι διευρυμένες καταστροφικές δυνατότητες του AcidPour περιλαμβάνουν τη λογική Linux Unsorted Block Image (UBI) και Device Mapper (DM), η οποία επηρεάζει συσκευές χειρός, IoT, δικτύωση ή, σε ορισμένες περιπτώσεις, συσκευές ICS», λέει ο Tom Hegel, ανώτερος ερευνητής απειλών στο SentinelOne. «Συσκευές όπως τα δίκτυα αποθηκευτικών χώρων (SAN), η συνδεδεμένη με το δίκτυο αποθήκευσης (NAS) και οι αποκλειστικές συστοιχίες RAID βρίσκονται επίσης τώρα στο πεδίο εφαρμογής των εφέ του AcidPour.»
Μια άλλη νέα δυνατότητα του AcidPour είναι μια λειτουργία αυτόματης διαγραφής που διαγράφει όλα τα ίχνη του κακόβουλου λογισμικού από τα συστήματα που μολύνει, λέει ο Hegel. Το AcidPour είναι συνολικά ένας σχετικά πιο εξελιγμένος υαλοκαθαριστήρας από τον AcidRain, λέει, επισημαίνοντας την υπερβολική χρήση διχάσεως διχάσεως από το τελευταίο και την αδικαιολόγητη επανάληψη ορισμένων λειτουργιών ως παραδείγματα της συνολικής προχειρότητας του.
Η SentinelOne ανακάλυψε το AcidRain τον Φεβρουάριο του 2022 μετά από μια κυβερνοεπίθεση που χτύπησε εκτός σύνδεσης περίπου 10,000 δορυφορικά μόντεμ σχετίζεται με το δίκτυο KA-SAT του παρόχου επικοινωνιών Viasat. Η επίθεση διέκοψε την ευρυζωνική εξυπηρέτηση των καταναλωτών για χιλιάδες πελάτες στην Ουκρανία και σε δεκάδες χιλιάδες ανθρώπους στην Ευρώπη. Το SentinelOne κατέληξε στο συμπέρασμα ότι το κακόβουλο λογισμικό ήταν πιθανότατα έργο μιας ομάδας που σχετίζεται με το Sandworm (γνωστός και ως APT 28, Fancy Bear και Sofacy), μια ρωσική επιχείρηση υπεύθυνη για πολυάριθμες ανατρεπτικές επιθέσεις στον κυβερνοχώρο στην Ουκρανία.
Οι ερευνητές του SentinelOne εντόπισαν για πρώτη φορά τη νέα παραλλαγή, το AcidPour, στις 16 Μαρτίου, αλλά δεν έχουν παρατηρήσει ακόμη κανέναν να το χρησιμοποιεί σε μια πραγματική επίθεση.
Sandworm Δεσμοί
Η αρχική τους ανάλυση του υαλοκαθαριστήρα αποκάλυψε πολλαπλές ομοιότητες με το AcidRain – κάτι που επιβεβαίωσε μια επόμενη βαθύτερη κατάδυση. Οι αξιοσημείωτες επικαλύψεις που ανακάλυψε το SentinelOne περιελάμβαναν τη χρήση του ίδιου μηχανισμού επανεκκίνησης από το AcidPour με το AcidRain και την ίδια λογική για το αναδρομικό σκούπισμα καταλόγου.
Το SentinelOne βρήκε επίσης ότι ο μηχανισμός σκουπίσματος που βασίζεται σε IOCTL του AcidPour είναι ο ίδιος με τον μηχανισμό σκουπίσματος στο AcidRain και στο VPNFilter, ένα αρθρωτή πλατφόρμα επίθεσης που έχει το Υπουργείο Δικαιοσύνης των ΗΠΑ συνδέεται με το Sandworm. Το IOCTL είναι ένας μηχανισμός για την ασφαλή διαγραφή ή σκούπισμα δεδομένων από συσκευές αποθήκευσης με την αποστολή συγκεκριμένων εντολών στη συσκευή.
«Μια από τις πιο ενδιαφέρουσες πτυχές του AcidPour είναι το στυλ κωδικοποίησης του, που θυμίζει το ρεαλιστικό CaddyWiper χρησιμοποιείται ευρέως εναντίον ουκρανικών στόχων παράλληλα με αξιοσημείωτα κακόβουλα προγράμματα όπως Βιομηχανικός 2», είπε ο SentinelOne. Τόσο το CaddyWiper όσο και το Industroyer 2 είναι κακόβουλο λογισμικό που χρησιμοποιείται από κρατικές ομάδες που υποστηρίζονται από τη Ρωσία σε καταστροφικές επιθέσεις σε οργανισμούς στην Ουκρανία, ακόμη και πριν από τη ρωσική εισβολή στη χώρα τον Φεβρουάριο του 2022.
Το CERT της Ουκρανίας ανέλυσε το AcidPour και το απέδωσε στον UAC-0165, έναν παράγοντα απειλής που ανήκει στην ομάδα Sandworm, είπε ο SentinelOne.
Το AcidPour και το AcidRain είναι μεταξύ των πολυάριθμων υαλοκαθαριστήρων που έχουν αναπτύξει Ρώσοι παράγοντες εναντίον ουκρανικών στόχων τα τελευταία χρόνια —και ιδιαίτερα μετά την έναρξη του τρέχοντος πολέμου μεταξύ των δύο χωρών. Παρόλο που ο ηθοποιός της απειλής κατάφερε να χτυπήσει χιλιάδες μόντεμ εκτός σύνδεσης στην επίθεση Viasat, η εταιρεία μπόρεσε να τα ανακτήσει και να τα επανατοποθετήσει μετά την αφαίρεση του κακόβουλου λογισμικού.
Σε πολλές άλλες περιπτώσεις, ωστόσο, οι οργανισμοί αναγκάστηκαν να απορρίψουν συστήματα μετά από επίθεση με υαλοκαθαριστήρες. Ένα από τα πιο αξιοσημείωτα παραδείγματα είναι το 2012 Shamoon επίθεση με υαλοκαθαριστήρες στη Saudi Aramco που κατέστρεψε περίπου 30,000 συστήματα στην εταιρεία.
Όπως συνέβη με το Shamoon και το AcidRain, οι φορείς απειλών συνήθως δεν χρειάζεται να κάνουν τους υαλοκαθαριστήρες εξελιγμένους για να είναι αποτελεσματικοί. Αυτό συμβαίνει επειδή η μόνη λειτουργία του κακόβουλου λογισμικού είναι να αντικαθιστά ή να διαγράφει δεδομένα από συστήματα και να τα αχρηστεύει, τακτικής υπεκφυγής και τεχνικές συσκότισης που σχετίζονται με κλοπή δεδομένων και επιθέσεις κυβερνοκατασκοπείας δεν είναι απαραίτητες.
Η καλύτερη άμυνα για τους υαλοκαθαριστήρες — ή για τον περιορισμό της ζημιάς από αυτούς — είναι η εφαρμογή του ίδιου είδους άμυνας όπως για το ransomware. Αυτό σημαίνει τη δημιουργία αντιγράφων ασφαλείας για κρίσιμα δεδομένα και τη διασφάλιση ισχυρών σχεδίων και δυνατοτήτων αντιμετώπισης περιστατικών.
Η τμηματοποίηση δικτύου είναι επίσης σημαντική, επειδή οι υαλοκαθαριστήρες είναι πιο αποτελεσματικοί όταν μπορούν να εξαπλωθούν σε άλλα συστήματα, έτσι ώστε αυτός ο τύπος αμυντικής στάσης βοηθά στην αποτροπή της πλευρικής κίνησης.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware
- :έχει
- :είναι
- :δεν
- 000
- 10
- 16
- 2012
- 2022
- 28
- 30
- 7
- a
- Ικανός
- Σύμφωνα με
- φορείς
- πραγματικός
- Μετά το
- κατά
- aka
- Όλα
- κατά μήκος της πλευράς
- Επίσης
- μεταξύ των
- an
- ανάλυση
- αναλύθηκε
- και
- κάποιος
- APT
- αρχιτεκτονική
- ΕΙΝΑΙ
- ΠΕΡΙΟΧΗ
- AS
- πτυχές
- συσχετισμένη
- At
- επίθεση
- Επιθέσεις
- αντιγράφων ασφαλείας
- BE
- Αρκούδα
- Αρκούδες
- επειδή
- ήταν
- πριν
- ΚΑΛΎΤΕΡΟΣ
- μεταξύ
- Αποκλεισμός
- και οι δύο
- ευρυζωνική
- ευρύτερη
- γενικά
- αλλά
- by
- δυνατότητες
- ικανότητα
- περίπτωση
- περιπτώσεις
- ορισμένες
- Κωδικοποίηση
- Διαβιβάσεις
- εταίρα
- Συντάχθηκε
- Κατέληξε στο συμπέρασμα
- ΕΠΙΒΕΒΑΙΩΜΕΝΟΣ
- καταναλωτής
- χώρες
- χώρα
- κρίσιμης
- Ρεύμα
- Πελάτες
- στον κυβερνοχώρο
- Ηλεκτρονική επίθεση
- βλάβη
- Επικίνδυνες
- ημερομηνία
- αφιερωμένο
- βαθύτερη
- Άμυνα
- Άμυνες
- Τμήμα
- Υπουργείο Δικαιοσύνης
- αναπτυχθεί
- συσκευή
- Συσκευές
- ανακάλυψαν
- Αναστατώνω
- διαταραχθεί
- αποδιοργανωτικός
- κατάδυση
- DM
- Αποτελεσματικός
- αποτελέσματα
- εξασφαλίζοντας
- κατασκοπεία
- Ευρώπη
- Even
- παραδείγματα
- υπερβολική
- επεκτάθηκε
- φαντασία
- Χαρακτηριστικά
- Φεβρουάριος
- Όνομα
- Εξής
- Για
- αναγκάζεται
- Βρέθηκαν
- από
- λειτουργία
- Group
- Ομάδα
- Έχω
- που έχει
- he
- βοηθά
- HTTPS
- identiques
- εικόνα
- Επιπτώσεις
- εφαρμογή
- in
- περιστατικό
- απάντηση περιστατικού
- περιλαμβάνουν
- περιλαμβάνονται
- περιλαμβάνει
- αρχικός
- Νοημοσύνη
- ενδιαφέρον
- εισβολή
- IoT
- IT
- ΤΟΥ
- jpeg
- μόλις
- Δικαιοσύνη
- Κλειδί
- Είδος
- Μου αρέσει
- Πιθανός
- LIMIT
- linux
- λογική
- κάνω
- malware
- διαχειρίζεται
- πολοί
- Μάρτιος
- μέσα
- μηχανισμός
- Στρατιωτικός
- περισσότερο
- πλέον
- κίνηση
- πολλαπλούς
- κατά τη
- απαραίτητος
- που απαιτούνται
- δίκτυο
- δικτύωσης
- δίκτυα
- Νέα
- αξιοσημείωτο
- τώρα
- πολυάριθμες
- of
- offline
- on
- ONE
- αποκλειστικά
- επίθεση
- λειτουργία
- λειτουργίες
- or
- οργανώσεις
- ΑΛΛΑ
- φόρμες
- μέρος
- ιδιαίτερα
- People
- Μέρος
- φώναξε
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- πραγματιστική
- προκάτοχος
- Πριν
- διαδικασια μας
- γόνιμος
- προμηθευτής
- σειρά
- ransomware
- πρόσφατος
- Ανάκτηση
- Αναδρομικό
- σχετικά
- Δελτία
- αναπολών
- αφαίρεση
- αποδώσει
- ερευνητής
- ερευνητές
- απάντησης
- υπεύθυνος
- Αποκαλυφθε'ντα
- εύρωστος
- Russia
- ρωσικός
- s
- Είπε
- ίδιο
- δορυφόρος
- Σαουδική
- Σαουδική Αράμκο
- λέει
- έκταση
- ασφαλώς
- κατάτμηση
- αποστολή
- αρχαιότερος
- υπηρεσία
- σημαντικά
- ομοιότητες
- So
- μερικοί
- εξελιγμένα
- συγκεκριμένες
- διάδοση
- Κατάσταση
- χώρος στο δίσκο
- στυλ
- μεταγενέστερος
- συστήματα
- στοχευμένες
- στόχους
- τεχνικές
- δεκάδες
- από
- ότι
- Η
- κλοπή
- Τους
- τότε
- αυτοί
- αν και?
- χιλιάδες
- απειλή
- απειλή
- εγκάρσιος
- Γραβάτες
- προς την
- κάποιος
- δύο
- τύπος
- συνήθως
- Ukraine
- Ουκρανικά
- ακάλυπτος
- διαφορετικός
- ανεγγύητος
- us
- Υπουργείο Δικαιοσύνης των ΗΠΑ
- χρήση
- μεταχειρισμένος
- άχρηστος
- χρησιμοποιώντας
- χρησιμοποιούνται
- Παραλλαγή
- εκδοχή
- πόλεμος
- ήταν
- πότε
- Ποιό
- Ο ΟΠΟΊΟΣ
- ευρύτερο
- σκούπισμα
- με
- Εργασία
- χρόνια
- ακόμη
- zephyrnet