Дослідники виявили більш небезпечну та плідну версію зловмисного програмного забезпечення wiper, яке використовувала російська військова розвідка для переривання послуг супутникового широкосмугового зв’язку в Україні безпосередньо перед вторгненням Росії в країну в лютому 2022 року.
Новий варіант, "AcidPour,” багато в чому подібний до свого попередника, але скомпільований для архітектури X86, на відміну від AcidRain, який націлений на системи на основі MIPS. За словами дослідників SentinelOne, які виявили загрозу, новий склоочисник також містить функції для його використання проти значно ширшого кола цілей, ніж AcidRain.
Ширші руйнівні можливості
«Розширені деструктивні можливості AcidPour включають Linux Unsorted Block Image (UBI) і логіку Device Mapper (DM), яка впливає на кишенькові комп’ютери, IoT, мережі або, в деяких випадках, пристрої ICS», — говорить Том Хегель, старший дослідник загроз SentinelOne. «Тепер такі пристрої, як мережі зберігання даних (SAN), мережеве сховище (NAS) і виділені масиви RAID, також підпадають під вплив AcidPour».
Ще одна нова можливість AcidPour — це функція самовидалення, яка стирає всі сліди зловмисного програмного забезпечення з систем, які воно заражає, говорить Хегель. За його словами, AcidPour є відносно складнішим склоочисником, ніж AcidRain, вказуючи на надмірне використання останнім розгалуження процесів і необґрунтоване повторення певних операцій як приклади його загальної неохайності.
SentinelOne виявив AcidRain у лютому 2022 року після кібератаки, яка вивела з ладу близько 10,000 XNUMX супутникових модемів пов’язані з мережею KA-SAT постачальника зв’язку Viasat. Атака призвела до перебоїв у наданні широкосмугового зв’язку тисячам клієнтів в Україні та десяткам тисяч людей у Європі. SentinelOne дійшов висновку, що зловмисне програмне забезпечення, ймовірно, є роботою групи, пов’язаної з Sandworm (також відомою як APT 28, Fancy Bear і Sofacy), російською операцією, відповідальною за численні руйнівні кібератаки в Україні.
Дослідники SentinelOne вперше помітили новий варіант, AcidPour, 16 березня, але ще не помітили, щоб хтось використовував його в реальній атаці.
Піщаний черв'як
Їхній початковий аналіз склоочисника виявив численні схожості з AcidRain, що підтвердило подальше глибше занурення. Помітні збіги, виявлені SentinelOne, включали використання AcidPour того самого механізму перезавантаження, що й AcidRain, і ідентичної логіки для рекурсивного стирання каталогів.
SentinelOne також виявив, що механізм стирання AcidPour на основі IOCTL такий самий, як і механізм стирання в AcidRain і VPNFilter, модульна платформа атаки які має Міністерство юстиції США пов'язаний з Sandworm. IOCTL — це механізм безпечного стирання або знищення даних із пристроїв зберігання шляхом надсилання певних команд на пристрій.
«Одним із найцікавіших аспектів AcidPour є його стиль кодування, який нагадує прагматичний CaddyWiper широко використовується проти українських цілей разом із такими відомими шкідливими програмами, як Індустрієр 2", - сказав SentinelOne. І CaddyWiper, і Industroyer 2 — це зловмисне програмне забезпечення, яке використовувалося підтримуваними Росією державними групами для деструктивних атак на організації в Україні ще до вторгнення Росії в країну в лютому 2022 року.
Український CERT проаналізував AcidPour і приписав UAC-0165, загрозу, яка є частиною групи Sandworm, повідомляє SentinelOne.
AcidPour і AcidRain є одними з численних засобів очищення, які російські актори розгорнули проти українських цілей в останні роки — і особливо після початку нинішньої війни між двома країнами. Незважаючи на те, що під час атаки Viasat зловмиснику вдалося вивести з ладу тисячі модемів, компанія змогла відновити їх і повторно розгорнути після видалення зловмисного програмного забезпечення.
Однак у багатьох інших випадках організації були змушені відмовитися від систем після атаки склоочисника. Одним із найяскравіших прикладів є 2012 рік Шамон атака склоочисників на Saudi Aramco, яка пошкодила близько 30,000 XNUMX систем у компанії.
Як і у випадку з Shamoon і AcidRain, учасникам загроз зазвичай не потрібно було робити складні склоочисники, щоб бути ефективними. Це тому, що єдина функція зловмисного програмного забезпечення — перезаписувати або видаляти дані з систем і робити їх марними, тому тактика ухилення і методи обфускації, пов’язані з крадіжкою даних і атаками кібершпигунства, не потрібні.
Найкращий захист від склоочисників — або обмеження шкоди від них — це запровадити той самий захист, що й для програм-вимагачів. Це означає наявність резервних копій критично важливих даних і забезпечення надійних планів реагування на інциденти та можливостей.
Сегментація мережі також є ключовою, оскільки склоочисники ефективніші, коли вони здатні поширюватися на інші системи, тому такий тип захисної позиції допомагає перешкоджати бічному руху.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware
- : має
- :є
- : ні
- 000
- 10
- 16
- 2012
- 2022
- 28
- 30
- 7
- a
- Здатний
- За
- актори
- фактичний
- після
- проти
- ака
- ВСІ
- пліч-о-пліч
- Також
- серед
- an
- аналіз
- проаналізовані
- та
- будь
- APT
- архітектура
- ЕСТЬ
- ПЛОЩА
- AS
- аспекти
- асоційований
- At
- атака
- нападки
- резервне копіювання
- BE
- ведмідь
- ведмеді
- оскільки
- було
- перед тим
- КРАЩЕ
- між
- Блокувати
- обидва
- широкосмуговий
- ширше
- широко
- але
- by
- можливості
- можливості
- випадок
- випадків
- певний
- Кодування
- зв'язку
- компанія
- скомпільований
- уклали
- Підтверджено
- споживач
- країни
- країна
- критичний
- Поточний
- Клієнти
- кібер-
- Кібератака
- пошкодження
- Небезпечний
- дані
- присвячених
- глибше
- оборони
- оборонні споруди
- відділ
- управління юстиції
- розгорнути
- пристрій
- прилади
- відкритий
- Зривати
- порушено
- руйнівний
- занурення
- DM
- Ефективний
- ефекти
- забезпечення
- шпигунство
- Європа
- Навіть
- Приклади
- надмірний
- розширений
- химерний
- риси
- лютого
- Перший
- після
- для
- примусовий
- знайдений
- від
- функція
- Group
- Групи
- Мати
- має
- he
- допомагає
- HTTPS
- однаковий
- зображення
- Вплив
- здійснювати
- in
- інцидент
- реагування на інциденти
- включати
- включені
- includes
- початковий
- Інтелект
- цікавий
- вторгнення
- КАТО
- IT
- ЙОГО
- JPEG
- просто
- юстиція
- ключ
- Дитина
- як
- Ймовірно
- МЕЖА
- Linux
- логіка
- зробити
- шкідливих програм
- вдалося
- багато
- березня
- засоби
- механізм
- військовий
- більше
- найбільш
- руху
- множинний
- NAS
- необхідно
- необхідний
- мережу
- мережа
- мереж
- Нові
- Помітний
- зараз
- численний
- of
- offline
- on
- ONE
- тільки
- наступ
- операція
- операції
- or
- організації
- Інше
- загальний
- частина
- особливо
- Люди
- місце
- плани
- plato
- Інформація про дані Платона
- PlatoData
- прагматичний
- попередник
- попередній
- процес
- плодовитий
- Постачальник
- діапазон
- вимагачів
- останній
- Відновлювати
- Рекурсивний
- щодо
- Релізи
- нагадує
- видалення
- надавати
- дослідник
- Дослідники
- відповідь
- відповідальний
- Показали
- міцний
- Росія
- російський
- s
- Зазначений
- то ж
- супутник
- Саудівська
- Саудівська Арамко
- говорить
- сфера
- безпечно
- сегментація
- відправка
- старший
- обслуговування
- істотно
- схожість
- So
- деякі
- складний
- конкретний
- поширення
- стан
- зберігання
- стиль
- наступні
- Systems
- цільове
- цілі
- методи
- тензор
- ніж
- Що
- Команда
- крадіжка
- Їх
- потім
- вони
- хоча?
- тисячі
- загроза
- актори загроз
- зірвати
- Зв'язку
- до
- Том
- два
- тип
- типово
- Ukraine
- УКРАЇНСЬКА
- непокритий
- на відміну від
- необґрунтований
- us
- Міністерство юстиції США
- використання
- використовуваний
- даремний
- використання
- використовувати
- варіант
- версія
- війна
- було
- коли
- який
- ВООЗ
- ширше
- витирання
- з
- Work
- років
- ще
- зефірнет