APT הרוסית משחררת גרסה קטלנית יותר של תוכנת זדונית AcidRain Wiper

הועלה מחדש על ידי אפלטון

עוקב: 0

APT הרוסית משחררת גרסה קטלנית יותר של AcidRain Wiper Malware PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

חוקרים חשפו גרסה מסוכנת ופורה יותר של תוכנת המגב המשמשת את המודיעין הצבאי הרוסי כדי לשבש את שירות הפס הרחב של לוויינים באוקראינה ממש לפני פלישת רוסיה למדינה בפברואר 2022.

הגרסה החדשה, "AcidPour,"נושא קווי דמיון מרובים עם קודמו אך הוא מורכב עבור ארכיטקטורת X86, בניגוד ל-AcidRain אשר כיוון למערכות מבוססות MIPS. המגב החדש כולל גם תכונות לשימוש שלו נגד מגוון רחב יותר של מטרות מאשר AcidRain, לפי חוקרים ב-SentinelOne שגילו את האיום.

יכולות הרס רחבות יותר

"יכולות ההרס המורחבות של AcidPour כוללות Linux Unsorted Block Image (UBI) ולוגיקת Device Mapper (DM), אשר משפיעה על מכשירי כף יד, IoT, רשת, או, במקרים מסוימים, התקני ICS", אומר טום הגל, חוקר איומים בכיר ב-SentinelOne. "התקנים כמו רשתות שטח אחסון (SANs), אחסון מחובר לרשת (NAS) ומערכי RAID ייעודיים נמצאים כעת גם בטווח ההשפעות של AcidPour."

יכולת חדשה נוספת של AcidPour היא פונקציית מחיקה עצמית שמוחקת את כל העקבות של התוכנה הזדונית ממערכות שהיא מדביקה, אומר הגל. AcidPour הוא מגב יחסית מתוחכם יותר מ-AcidRain, הוא אומר, ומצביע על השימוש המופרז של האחרון בחילוף תהליכים וחזרה לא מוצדקת על פעולות מסוימות כדוגמאות לרשלנות הכללית שלו.

SentinelOne גילה את AcidRain בפברואר 2022 בעקבות מתקפת סייבר דפק כ-10,000 מודמים לווייניים במצב לא מקוון קשור לרשת KA-SAT של ספקית התקשורת Viasat. המתקפה שיבשה את שירות הפס הרחב לצרכנים עבור אלפי לקוחות באוקראינה, ולעשרות אלפי אנשים באירופה. SentinelOne הגיע למסקנה שהתוכנה הזדונית היא ככל הנראה עבודתה של קבוצה הקשורה לתולעת חול (המכונה APT 28, Fancy Bear ו-Sofacy), פעולה רוסית האחראית על מתקפות סייבר משבשות רבות באוקראינה.

חוקרי SentinelOne הבחינו לראשונה בגרסה החדשה, AcidPour, ב-16 במרץ, אך עדיין לא הבחינו באיש משתמש בה בהתקפה ממשית.

קשרי תולעי חול

הניתוח הראשוני שלהם של המגב גילה קווי דמיון מרובים עם AcidRain - שצלילה עמוקה יותר לאחר מכן אישרה. החפיפות הבולטות שגילתה SentinelOne כללו את השימוש של AcidPour באותו מנגנון אתחול מחדש כמו AcidRain, והיגיון זהה למחיקה רקורסיבית של ספריות.

SentinelOne מצאה גם שמנגנון הניגוב מבוסס IOCTL של AcidPour זהה למנגנון הניגוב ב-AcidRain וב-VPNFilter, פלטפורמת תקיפה מודולרית שיש למשרד המשפטים האמריקאי מקושר לתולעת חול. IOCTL הוא מנגנון למחיקה או מחיקה מאובטחת של נתונים מהתקני אחסון על ידי שליחת פקודות ספציפיות למכשיר.

"אחד ההיבטים המעניינים ביותר של AcidPour הוא סגנון הקידוד שלו, שמזכיר את הפרגמטי CaddyWiper בשימוש נרחב נגד מטרות אוקראיניות לצד תוכנות זדוניות בולטות כמו Industroyer 2"אמר SentinelOne. גם CaddyWiper וגם Industroyer 2 הם תוכנות זדוניות המשמשות קבוצות מדינה הנתמכות על ידי רוסיה בהתקפות הרסניות על ארגונים באוקראינה, עוד לפני פלישת רוסיה בפברואר 2022 למדינה.

ה-CERT של אוקראינה ניתח את AcidPour וייחס ל-UAC-0165, שחקן איום שהוא חלק מקבוצת תולעי החול, אמר SentinelOne.

AcidPour ו-AcidRain הם בין מספר מגבים ששחקנים רוסים פרסו נגד מטרות אוקראיניות בשנים האחרונות - ובמיוחד לאחר תחילת המלחמה הנוכחית בין שתי המדינות. למרות ששחקן האיום הצליח לדפוק אלפי מודמים במצב לא מקוון במתקפת Viasat, החברה הצליחה לשחזר ולפרוס אותם מחדש לאחר הסרת התוכנה הזדונית.

עם זאת, במקרים רבים אחרים, ארגונים נאלצו לזרוק מערכות בעקבות התקפת מגב. אחת הדוגמאות הבולטות ביותר היא 2012 שמעון מתקפת מגבים על ארמקו הסעודית שהרסה כ-30,000 מערכות בחברה.

כפי שהיה במקרה של Shamoon ו- AcidRain, שחקני איומים בדרך כלל לא היו צריכים להפוך את המגבים למתוחכמים כדי להיות יעילים. הסיבה לכך היא שהפונקציה היחידה של התוכנה הזדונית היא לדרוס או למחוק נתונים ממערכות ולהפוך אותם לחסרי תועלת, אז טקטיקות התחמקות וטכניקות ערפול הקשורות לגניבת נתונים וריגול סייבר אינן נחוצות.

ההגנה הטובה ביותר למגבים - או להגביל נזקים מהם - היא ליישם את אותו סוג של הגנות כמו עבור תוכנות כופר. זה אומר שיש גיבויים לנתונים קריטיים והבטחת תוכניות ויכולות חזקות לתגובה לאירועים.

פילוח רשת הוא המפתח גם מכיוון שמגבים יעילים יותר כאשר הם מסוגלים להתפשט למערכות אחרות, כך שסוג זה של תנוחת הגנה עוזרת לסכל תנועה צידית.