חוקרים חשפו גרסה מסוכנת ופורה יותר של תוכנת המגב המשמשת את המודיעין הצבאי הרוסי כדי לשבש את שירות הפס הרחב של לוויינים באוקראינה ממש לפני פלישת רוסיה למדינה בפברואר 2022.
הגרסה החדשה, "AcidPour,"נושא קווי דמיון מרובים עם קודמו אך הוא מורכב עבור ארכיטקטורת X86, בניגוד ל-AcidRain אשר כיוון למערכות מבוססות MIPS. המגב החדש כולל גם תכונות לשימוש שלו נגד מגוון רחב יותר של מטרות מאשר AcidRain, לפי חוקרים ב-SentinelOne שגילו את האיום.
יכולות הרס רחבות יותר
"יכולות ההרס המורחבות של AcidPour כוללות Linux Unsorted Block Image (UBI) ולוגיקת Device Mapper (DM), אשר משפיעה על מכשירי כף יד, IoT, רשת, או, במקרים מסוימים, התקני ICS", אומר טום הגל, חוקר איומים בכיר ב-SentinelOne. "התקנים כמו רשתות שטח אחסון (SANs), אחסון מחובר לרשת (NAS) ומערכי RAID ייעודיים נמצאים כעת גם בטווח ההשפעות של AcidPour."
יכולת חדשה נוספת של AcidPour היא פונקציית מחיקה עצמית שמוחקת את כל העקבות של התוכנה הזדונית ממערכות שהיא מדביקה, אומר הגל. AcidPour הוא מגב יחסית מתוחכם יותר מ-AcidRain, הוא אומר, ומצביע על השימוש המופרז של האחרון בחילוף תהליכים וחזרה לא מוצדקת על פעולות מסוימות כדוגמאות לרשלנות הכללית שלו.
SentinelOne גילה את AcidRain בפברואר 2022 בעקבות מתקפת סייבר דפק כ-10,000 מודמים לווייניים במצב לא מקוון קשור לרשת KA-SAT של ספקית התקשורת Viasat. המתקפה שיבשה את שירות הפס הרחב לצרכנים עבור אלפי לקוחות באוקראינה, ולעשרות אלפי אנשים באירופה. SentinelOne הגיע למסקנה שהתוכנה הזדונית היא ככל הנראה עבודתה של קבוצה הקשורה לתולעת חול (המכונה APT 28, Fancy Bear ו-Sofacy), פעולה רוסית האחראית על מתקפות סייבר משבשות רבות באוקראינה.
חוקרי SentinelOne הבחינו לראשונה בגרסה החדשה, AcidPour, ב-16 במרץ, אך עדיין לא הבחינו באיש משתמש בה בהתקפה ממשית.
קשרי תולעי חול
הניתוח הראשוני שלהם של המגב גילה קווי דמיון מרובים עם AcidRain - שצלילה עמוקה יותר לאחר מכן אישרה. החפיפות הבולטות שגילתה SentinelOne כללו את השימוש של AcidPour באותו מנגנון אתחול מחדש כמו AcidRain, והיגיון זהה למחיקה רקורסיבית של ספריות.
SentinelOne מצאה גם שמנגנון הניגוב מבוסס IOCTL של AcidPour זהה למנגנון הניגוב ב-AcidRain וב-VPNFilter, פלטפורמת תקיפה מודולרית שיש למשרד המשפטים האמריקאי מקושר לתולעת חול. IOCTL הוא מנגנון למחיקה או מחיקה מאובטחת של נתונים מהתקני אחסון על ידי שליחת פקודות ספציפיות למכשיר.
"אחד ההיבטים המעניינים ביותר של AcidPour הוא סגנון הקידוד שלו, שמזכיר את הפרגמטי CaddyWiper בשימוש נרחב נגד מטרות אוקראיניות לצד תוכנות זדוניות בולטות כמו Industroyer 2"אמר SentinelOne. גם CaddyWiper וגם Industroyer 2 הם תוכנות זדוניות המשמשות קבוצות מדינה הנתמכות על ידי רוסיה בהתקפות הרסניות על ארגונים באוקראינה, עוד לפני פלישת רוסיה בפברואר 2022 למדינה.
ה-CERT של אוקראינה ניתח את AcidPour וייחס ל-UAC-0165, שחקן איום שהוא חלק מקבוצת תולעי החול, אמר SentinelOne.
AcidPour ו-AcidRain הם בין מספר מגבים ששחקנים רוסים פרסו נגד מטרות אוקראיניות בשנים האחרונות - ובמיוחד לאחר תחילת המלחמה הנוכחית בין שתי המדינות. למרות ששחקן האיום הצליח לדפוק אלפי מודמים במצב לא מקוון במתקפת Viasat, החברה הצליחה לשחזר ולפרוס אותם מחדש לאחר הסרת התוכנה הזדונית.
עם זאת, במקרים רבים אחרים, ארגונים נאלצו לזרוק מערכות בעקבות התקפת מגב. אחת הדוגמאות הבולטות ביותר היא 2012 שמעון מתקפת מגבים על ארמקו הסעודית שהרסה כ-30,000 מערכות בחברה.
כפי שהיה במקרה של Shamoon ו- AcidRain, שחקני איומים בדרך כלל לא היו צריכים להפוך את המגבים למתוחכמים כדי להיות יעילים. הסיבה לכך היא שהפונקציה היחידה של התוכנה הזדונית היא לדרוס או למחוק נתונים ממערכות ולהפוך אותם לחסרי תועלת, אז טקטיקות התחמקות וטכניקות ערפול הקשורות לגניבת נתונים וריגול סייבר אינן נחוצות.
ההגנה הטובה ביותר למגבים - או להגביל נזקים מהם - היא ליישם את אותו סוג של הגנות כמו עבור תוכנות כופר. זה אומר שיש גיבויים לנתונים קריטיים והבטחת תוכניות ויכולות חזקות לתגובה לאירועים.
פילוח רשת הוא המפתח גם מכיוון שמגבים יעילים יותר כאשר הם מסוגלים להתפשט למערכות אחרות, כך שסוג זה של תנוחת הגנה עוזרת לסכל תנועה צידית.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware
- :יש ל
- :הוא
- :לֹא
- 000
- 10
- 16
- 2012
- 2022
- 28
- 30
- 7
- a
- יכול
- פי
- שחקנים
- ממשי
- לאחר
- נגד
- aka
- תעשיות
- בַּצַד
- גם
- בין
- an
- אנליזה
- מְנוּתָח
- ו
- כל אחד
- APT
- ארכיטקטורה
- ARE
- AREA
- AS
- היבטים
- המשויך
- At
- לתקוף
- המתקפות
- גיבויים
- BE
- דוב
- דובים
- כי
- היה
- לפני
- הטוב ביותר
- בֵּין
- לחסום
- שניהם
- פס רחב
- רחב
- בְּהַרְחָבָה
- אבל
- by
- יכולות
- יכולת
- מקרה
- מקרים
- מסוים
- סִמוּל
- תקשורת
- חברה
- הידור
- הגיע למסקנה
- מְאוּשָׁר
- צרכן
- מדינות
- מדינה
- קריטי
- נוֹכְחִי
- לקוחות
- סייבר
- התקפת סייבר
- נזק
- מסוכן
- נתונים
- מוקדש
- עמוק יותר
- גופי בטחון
- הגנות
- מַחלָקָה
- משרד המשפטים
- פרס
- מכשיר
- התקנים
- גילה
- לשבש
- שיבש
- מְשַׁבֵּשׁ
- צלילה
- DM
- אפקטיבי
- תופעות
- הבטחתי
- ריגול
- אירופה
- אֲפִילוּ
- דוגמאות
- מופרז
- מורחב
- אשליה
- תכונות
- פבואר
- ראשון
- הבא
- בעד
- מאולץ
- מצא
- החל מ-
- פונקציה
- קְבוּצָה
- קבוצה
- יש
- יש
- he
- עוזר
- HTTPS
- זהה
- תמונה
- השפעות
- ליישם
- in
- תקרית
- תגובה לאירוע
- לכלול
- כלול
- כולל
- בתחילה
- מוֹדִיעִין
- מעניין
- פלישה
- IOT
- IT
- שֶׁלָה
- jpeg
- רק
- שופט
- מפתח
- סוג
- כמו
- סביר
- להגביל
- לינוקס
- הגיון
- לעשות
- תוכנות זדוניות
- הצליח
- רב
- צעדה
- אומר
- מנגנון
- צבאי
- יותר
- רוב
- תנועה
- מספר
- ב
- הכרחי
- נחוץ
- רשת
- רשתות
- רשתות
- חדש
- יַקִיר
- עַכשָׁיו
- רב
- of
- לא מחובר
- on
- ONE
- רק
- התחלתה
- מבצע
- תפעול
- or
- ארגונים
- אחר
- מקיף
- חלק
- במיוחד
- אֲנָשִׁים
- מקום
- תוכניות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- פרגמטי
- קודמו
- קודם
- תהליך
- פורה
- ספק
- רכס
- ransomware
- לאחרונה
- להחלים
- רקורסיבי
- יחסית
- עיתונות
- מַזכִּיר
- הסרת
- לדקלם
- חוקר
- חוקרים
- תגובה
- אחראי
- גילה
- חָסוֹן
- רוסיה
- רוסי
- s
- אמר
- אותו
- הלוויין
- סעודי
- ארמקו הסעודית
- אומר
- היקף
- מאובטח
- פילוח
- שליחה
- לחצני מצוקה לפנסיונרים
- שרות
- באופן משמעותי
- הדמיון
- So
- כמה
- מתוחכם
- ספציפי
- התפשטות
- מדינה
- אחסון
- סגנון
- לאחר מכן
- מערכות
- ממוקד
- מטרות
- טכניקות
- עשרות
- מֵאֲשֶׁר
- זֶה
- השמיים
- גְנֵבָה
- אותם
- אז
- הֵם
- אם כי?
- אלפים
- איום
- איום שחקנים
- לְסַכֵּל
- קשרים
- ל
- טום
- שתיים
- סוג
- בדרך כלל
- אוקראינה
- אוקראיני
- חָשׂוּף
- בניגוד
- לא מוצדק
- us
- משרד המשפטים האמריקאי
- להשתמש
- מְשׁוּמָשׁ
- חסר תועלת
- באמצעות
- מנוצל
- גִרְסָה אַחֶרֶת
- גרסה
- מִלחָמָה
- היה
- מתי
- אשר
- מי
- רחב יותר
- קִנוּחַ
- עם
- תיק עבודות
- שנים
- עוד
- זפירנט