Vene APT avaldas AcidRain klaasipuhastite pahavara surmavama variandi

Teadlased on avastanud ohtlikuma ja viljakama versiooni puhastite pahavarast, mida Vene sõjaväeluure kasutas Ukrainas satelliidi lairibateenuse katkestamiseks vahetult enne Venemaa sissetungi riiki 2022. aasta veebruaris.

Uus variant "AcidPour,” omab mitmeid sarnasusi oma eelkäijaga, kuid on koostatud X86 arhitektuuri jaoks, erinevalt AcidRainist, mis oli suunatud MIPS-põhistele süsteemidele. Uuel klaasipuhastil on ohu avastanud SentinelOne'i teadlaste sõnul ka funktsioonid selle kasutamiseks oluliselt laiema sihtmärkide valiku vastu kui AcidRain.

Laiemad hävitamisvõimed

"AcidPouri laiendatud hävitamisvõimalused hõlmavad Linuxi sorteerimata plokipildi (UBI) ja seadme kaardistamise (DM) loogikat, mis mõjutavad pihuarvuteid, asjade Interneti-ühendust, võrku või mõnel juhul ka ICS-seadmeid, " ütleb SentinelOne'i vanemohuteadur Tom Hegel. "Seadmed, nagu salvestusvõrgud (SAN-id), võrguga ühendatud salvestusruum (NAS) ja spetsiaalsed RAID-massiivid, on nüüd samuti AcidPouri efektide ulatusega."

Veel üks AcidPouri uus võimalus on enesekustutusfunktsioon, mis kustutab kõik pahavara jäljed süsteemidest, mida see nakatab, ütleb Hegel. Ta ütleb, et AcidPour on üldiselt suhteliselt keerukam klaasipuhasti kui AcidRain, osutades viimase liigsele protsessihargistamise kasutamisele ja teatud toimingute põhjendamatule kordamisele kui selle üldise lohakuse näidetele.

SentinelOne avastas AcidRaini 2022. aasta veebruaris pärast küberrünnakut katkestas võrguühenduseta umbes 10,000 XNUMX satelliitmodemit seotud sideteenuse pakkuja Viasati KA-SAT võrguga. Rünnak katkestas tarbijate lairibateenuse tuhandete klientide jaoks Ukrainas ja kümnete tuhandete inimeste jaoks Euroopas. SentinelOne järeldas, et pahavara oli tõenäoliselt grupi töö, mis on seotud Sandwormiga (teise nimega APT 28, Fancy Bear ja Sofacy), Venemaa operatsiooniga, mis vastutab arvukad küberrünnakud Ukrainas.

SentinelOne'i teadlased märkasid uut varianti AcidPour esmakordselt 16. märtsil, kuid pole veel täheldanud, et keegi oleks seda rünnakus kasutanud.

Liivausside sidemed

Nende esialgne klaasipuhasti analüüs näitas mitmeid sarnasusi AcidRainiga - mida järgnev sügavam sukeldumine kinnitas. Märkimisväärsed kattumised, mille SentinelOne avastas, hõlmasid seda, et AcidPour kasutas sama taaskäivitusmehhanismi nagu AcidRain, ja identset loogikat kataloogide rekursiivsel kustutamisel.

SentinelOne leidis ka, et AcidPouri IOCTL-põhine pühkimismehhanism on sama, mis AcidRaini ja VPNFilteri pühkimismehhanism. modulaarne ründeplatvorm mis USA justiitsministeeriumil on seotud Sandwormiga. IOCTL on mehhanism andmete turvaliseks kustutamiseks või kustutamiseks salvestusseadmetest, saates seadmele konkreetseid käske.

"AcidPouri üks huvitavamaid aspekte on selle kodeerimisstiil, mis meenutab pragmaatilist CaddyWiper kasutatakse laialdaselt Ukraina sihtmärkide vastu koos märkimisväärse pahavaraga Tööstaja 2"ütles SentinelOne. Nii CaddyWiper kui ka Industroyer 2 on pahavara, mida Venemaa toetatud riigirühmitused kasutavad hävitavates rünnakutes Ukraina organisatsioonide vastu, isegi enne Venemaa 2022. aasta veebruari sissetungi riiki.

SentinelOne ütles, et Ukraina CERT on analüüsinud AcidPouri ja omistanud Sandworm gruppi kuuluvale ohutegurile UAC-0165.

AcidPour ja AcidRain on ühed paljudest puhastusvahenditest, mida Venemaa näitlejad on viimastel aastatel Ukraina sihtmärkide vastu kasutanud – ja eriti pärast kahe riigi vahelise sõja algust. Kuigi ohunäitlejal õnnestus Viasati rünnaku käigus tuhanded modemid võrguühenduseta lüüa, suutis ettevõte need pärast pahavara eemaldamist taastada ja ümber paigutada.

Kuid paljudel muudel juhtudel on organisatsioonid pärast klaasipuhasti rünnakut sunnitud süsteemid kasutuselt kõrvaldama. Üks silmapaistvamaid näiteid on 2012. a Shamoon klaasipuhasti rünnak Saudi Aramco vastu, mis kahjustas ettevõttes umbes 30,000 XNUMX süsteemi.

Nagu Shamooni ja AcidRaini puhul, ei ole ohus osalejad tavaliselt pidanud klaasipuhastiid tõhusaks muutma. Selle põhjuseks on asjaolu, et pahavara ainus funktsioon on süsteemide andmete ülekirjutamine või kustutamine ja nende kasutuks muutmine. kõrvalehoidmise taktika andmevarguste ja küberspionaažirünnakutega seotud hägustamistehnikad pole vajalikud.

Parim kaitse klaasipuhastite vastu – või nende tekitatud kahju piiramine – on rakendada samasuguseid kaitsevahendeid nagu lunavara puhul. See tähendab, et kriitiliste andmete jaoks tuleb luua varukoopiad ning tagada usaldusväärsed intsidentidele reageerimise plaanid ja võimalused.

Võrgu segmenteerimine on samuti võtmetähtsusega, kuna klaasipuhastid on tõhusamad, kui nad suudavad levida teistesse süsteemidesse, nii et selline kaitseasend aitab takistada külgsuunalist liikumist.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware