Raziskovalci so odkrili bolj nevarno in plodno različico zlonamerne programske opreme brisalcev, ki jo je ruska vojaška obveščevalna služba uporabila za prekinitev satelitskih širokopasovnih storitev v Ukrajini tik pred rusko invazijo na državo februarja 2022.
Nova različica, "AcidPour,” ima več podobnosti s svojim predhodnikom, vendar je preveden za arhitekturo X86, za razliko od AcidRain, ki je bil namenjen sistemom, ki temeljijo na MIPS. Po mnenju raziskovalcev SentinelOne, ki so odkrili grožnjo, novi brisalec vključuje tudi funkcije za njegovo uporabo proti bistveno širšemu naboru ciljev kot AcidRain.
Širše uničujoče zmožnosti
»Razširjene destruktivne zmožnosti AcidPour vključujejo logiko Linux Unsorted Block Image (UBI) in Device Mapper (DM), ki vpliva na dlančnike, internet stvari, omrežja ali v nekaterih primerih naprave ICS,« pravi Tom Hegel, višji raziskovalec groženj pri SentinelOne. "Naprave, kot so omrežja za shranjevanje podatkov (SAN), omrežno priključeni pomnilnik (NAS) in namenski nizi RAID, so zdaj tudi v obsegu učinkov AcidPour."
Druga nova zmožnost AcidPour je funkcija samoizbrisa, ki izbriše vse sledi zlonamerne programske opreme iz sistemov, ki jih okuži, pravi Hegel. AcidPour je na splošno razmeroma bolj izpopolnjen brisalec kot AcidRain, pravi, pri čemer opozarja na pretirano uporabo razcepa procesa in neupravičenega ponavljanja določenih operacij kot primera njegove splošne površnosti.
SentinelOne je AcidRain odkril februarja 2022 po kibernetskem napadu, ki je onemogočil približno 10,000 satelitskih modemov povezana z omrežjem KA-SAT ponudnika komunikacij Viasat. Napad je prekinil potrošniško širokopasovno storitev za tisoče uporabnikov v Ukrajini in več deset tisoč ljudi v Evropi. SentinelOne je ugotovil, da je zlonamerna programska oprema verjetno delo skupine, povezane s Sandworm (aka APT 28, Fancy Bear in Sofacy), rusko operacijo, odgovorno za številni moteči kibernetski napadi v Ukrajini.
Raziskovalci SentinelOne so novo različico, AcidPour, prvič opazili 16. marca, vendar še niso opazili, da bi jo kdo uporabljal v dejanskem napadu.
Vezice iz peščenih črvov
Njihova začetna analiza brisalca je razkrila številne podobnosti z AcidRain - kar je naknadni globlji potop potrdil. Opazna prekrivanja, ki jih je odkril SentinelOne, so vključevala uporabo istega mehanizma ponovnega zagona s strani AcidPour kot AcidRain in enako logiko za rekurzivno brisanje imenikov.
SentinelOne je tudi ugotovil, da je mehanizem brisanja AcidPour, ki temelji na IOCTL, enak mehanizmu brisanja v AcidRain in VPNFilter, modularna napadalna platforma ki jih ima ameriško pravosodno ministrstvo povezan s Sandwormom. IOCTL je mehanizem za varno brisanje ali brisanje podatkov iz naprav za shranjevanje s pošiljanjem posebnih ukazov napravi.
»Eden najzanimivejših vidikov AcidPour je njegov slog kodiranja, ki spominja na pragmatičen CaddyWiper široko uporablja proti ukrajinskim tarčam poleg opazne zlonamerne programske opreme, kot je Industroyer 2,« je dejal SentinelOne. Tako CaddyWiper kot Industroyer 2 sta zlonamerna programska oprema, ki so jo uporabljale državne skupine, ki jih podpira Rusija, pri uničujočih napadih na organizacije v Ukrajini, še pred rusko invazijo na državo februarja 2022.
Ukrajinski CERT je analiziral AcidPour in ga pripisal UAC-0165, akterju grožnje, ki je del skupine Sandworm, je dejal SentinelOne.
AcidPour in AcidRain sta med številnimi brisalci, ki so jih ruski akterji v zadnjih letih uporabili proti ukrajinskim tarčam, zlasti po začetku sedanje vojne med državama. Čeprav je akterju grožnje uspelo onemogočiti na tisoče modemov v napadu na Viasat, jih je podjetje po odstranitvi zlonamerne programske opreme uspelo obnoviti in znova namestiti.
V mnogih drugih primerih pa so bile organizacije prisiljene zavreči sisteme po napadu brisalcev. Eden najbolj opaznih primerov je 2012 Shamoon wiper napad na Saudi Aramco, ki je onemogočil približno 30,000 sistemov v podjetju.
Kot je bilo v primeru Shamoon in AcidRain, akterjem groženj običajno ni bilo treba izpopolniti brisalcev, da bi bili učinkoviti. To je zato, ker je edina funkcija zlonamerne programske opreme prepisati ali izbrisati podatke iz sistemov in jih narediti neuporabne, torej izmikajoče se taktike in tehnike zamegljevanja, povezane s krajo podatkov in napadi kibernetskega vohunjenja, niso potrebne.
Najboljša obramba za brisalce – ali za omejitev njihove škode – je uvedba enake obrambe kot pri izsiljevalski programski opremi. To pomeni vzpostavitev varnostnih kopij za kritične podatke in zagotavljanje zanesljivih načrtov in zmogljivosti za odzivanje na incidente.
Segmentacija omrežja je prav tako ključna, ker so brisalci učinkovitejši, če se lahko razširijo na druge sisteme, tako da ta vrsta obrambne drže pomaga preprečiti bočno gibanje.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware
- :ima
- : je
- :ne
- 000
- 10
- 16
- 2012
- 2022
- 28
- 30
- 7
- a
- Sposobna
- Po
- akterji
- dejanska
- po
- proti
- aka
- vsi
- skupaj
- Prav tako
- med
- an
- Analiza
- analizirati
- in
- kdo
- APT
- Arhitektura
- SE
- OBMOČJE
- AS
- vidiki
- povezan
- At
- napad
- Napadi
- varnostne kopije
- BE
- Nosijo
- Medvedi
- ker
- bilo
- pred
- BEST
- med
- Block
- tako
- širokopasovni
- širši
- splošno
- vendar
- by
- Zmogljivosti
- zmožnost
- primeru
- primeri
- nekatere
- Kodiranje
- Communications
- podjetje
- zbranih
- sklenjene
- POTRJENO
- Potrošnik
- države
- država
- kritično
- Trenutna
- Stranke, ki so
- cyber
- Kibernetski napad
- škoda
- Nevarno
- datum
- namenjen
- globlje
- Defense
- obrambe
- Oddelek
- oddelek za pravosodje
- razporejeni
- naprava
- naprave
- odkril
- Moti
- moten
- moteče
- potop
- DM
- Učinkovito
- Učinki
- zagotoviti
- vohunjenja
- Evropa
- Tudi
- Primeri
- prekomerno
- razširiti
- fancy
- Lastnosti
- februar
- prva
- po
- za
- prisiljena
- je pokazala,
- iz
- funkcija
- skupina
- Skupine
- Imajo
- ob
- he
- Pomaga
- HTTPS
- enako
- slika
- Vplivi
- izvajati
- in
- nesreča
- odziv na incident
- vključujejo
- vključeno
- vključuje
- začetna
- Intelligence
- Zanimivo
- Invazija
- Internet stvari
- IT
- ITS
- jpeg
- samo
- Justice
- Ključne
- Otrok
- kot
- Verjeten
- LIMIT
- linux
- Logika
- Znamka
- zlonamerna programska oprema
- upravlja
- več
- marec
- pomeni
- Mehanizem
- Vojaška
- več
- Najbolj
- Gibanje
- več
- na
- potrebno
- potrebna
- mreža
- mreženje
- omrežij
- Novo
- opazen
- zdaj
- številne
- of
- offline
- on
- ONE
- samo
- začetku
- Delovanje
- operacije
- or
- organizacije
- Ostalo
- Splošni
- del
- zlasti
- ljudje
- Kraj
- načrti
- platon
- Platonova podatkovna inteligenca
- PlatoData
- pragmatično
- predhodnik
- Predhodna
- Postopek
- plodovit
- Ponudnik
- območje
- izsiljevalska
- nedavno
- Obnovi
- Rekurzivno
- relativno
- Izpusti
- spominja
- odstranjevanje
- donos
- raziskovalec
- raziskovalci
- Odgovor
- odgovorna
- Razkrito
- robusten
- Rusija
- russian
- s
- Je dejal
- Enako
- satelit
- Saudska
- Saudi Aramco
- pravi
- Obseg
- Varno
- segmentacija
- pošiljanja
- višji
- Storitev
- bistveno
- podobnosti
- So
- nekaj
- prefinjeno
- specifična
- namaz
- Država
- shranjevanje
- slog
- kasneje
- sistemi
- ciljno
- Cilji
- tehnike
- deset
- kot
- da
- O
- Kraja
- Njih
- POTEM
- jih
- čeprav?
- tisoče
- Grožnja
- akterji groženj
- preprečiti
- Vezi
- do
- tom
- dva
- tip
- tipično
- Ukrajina
- Ukrajinski
- nepokrite
- za razliko od
- neupravičeno
- us
- Ministrstvo za pravosodje ZDA
- uporaba
- Rabljeni
- neuporabna
- uporabo
- uporablja
- Variant
- različica
- vojna
- je
- kdaj
- ki
- WHO
- širše
- brisanje
- z
- delo
- let
- še
- zefirnet
