查看原文
其他

更强擦除器“AcidPour”曝光!疑俄罗斯军情部门针对多家乌克兰ISP发起擦除攻击

Sentinelone的研究人员3月21日发文表示,俄罗斯军事黑客在2022年初战争开始时使用的恶意软件更新版本可能已用于攻击四家乌克兰互联网服务提供商。名为AcidPour的新恶意软件扩展了AcidRain的功能和破坏潜力,包括Linux未排序块映像(UBI)和设备映射器(DM)逻辑,更好地针对RAID阵列和大型存储设备。研究人员的分析证实了AcidRain和AcidPour之间的联系,有效地将其与之前公开归因于俄罗斯军事情报部门的威胁组织联系起来。AcidPour在野外的发现再次提醒人们,AcidRain事件发生两年后,网络对俄乌战争的支持仍在不断发展。所涉及的威胁行为者善于策划大范围的破坏,并通过各种手段表明了他们这样做的坚定不移的决心和意图。
3月13日,一个自称“Solntsepek”的组织在其Telegram频道上发布的消息声称,对Triacom、Misto TV、Linktelecom和KIM等四家乌克兰互联网服务提供商进行了破坏性攻击。Solntsepek的Telegram频道于2022年4月推出,详细介绍了对各种受害者(包括多个电信相关实体)的重复攻击。
Solntsepek——一个明显由俄罗斯军事情报局(GRU)控制的黑客和泄密前沿组织——声称对2023年12月对乌克兰最大电信提供商Kyivstar的一次重大攻击负责。乌克兰安全局(SBU)网络安全部门负责人伊利亚·维提克(Illia Vitiuk)当时表示,此次攻击是由俄罗斯军事情报黑客组织Sandworm发起的。
SentinelLabs3月21日的博文称,2024年3月16日,他们发现了从乌克兰上传的可疑Linux二进制文件。SentinelLabs的研究人员Juan Andrés Guerrero-Saade和Tom Hegel的初步分析显示,它与俄罗斯入侵乌克兰之初用于禁用整个欧洲KA-SAT调制解调器的臭名昭著的AcidRain雨刮器(通常被称为“Viasat hack”用词不当)有相似之处。自最初发现以来,到目前为止尚未检测到或公开报道类似的样本或变体。这个新样品是一个经过确认的变体,研究人员称之为“AcidPour”,这是一种具有类似和扩展功能的擦拭器。
Guerrero-Saade和Tom Hegel在博文中表示,虽然目标和影响尚无定论,但“有迹象表明多个乌克兰电信网络受到干扰,据报道这些网络自3月13日以来一直处于离线状态。”
负责网络防御的乌克兰国家特殊通信和信息保护局拒绝对此事发表评论。情报和执法机构SBU没有回应置评请求。
Kentik互联网分析总监Doug Madory周三(3月20日)在X社交媒体平台上发布了一条消息,显示从3月13日开始,公司的网络流量出现严重中断,并在接下来的几天里慢慢恢复。
周二(19日),Misto TV主页上发布的一条消息称,服务正在恢复,根据该消息的机器翻译,“黑客攻击的后果比我们预期的更严重”。
黑格尔周一(18日)告诉CyberScoop,AcidPour的出现令人担忧,因为它可能被用作“俄罗斯更大规模的服务中断”的一部分,不仅会擦除调制解调器的内容,还会擦除一系列其他设备的内容。
新的擦除器的编程风格让研究者想到了之前发现的著名恶意软件Caddywipper和Industroyer 2.
即将离任的国家安全局网络安全主管罗布·乔伊斯 (Rob Joyce)在周二(3月19日)的X帖子中称AcidPour是“值得关注的威胁”。
Hegel表示,3月16日发现的恶意软件更新版本更令人担忧,因为它可用于针对嵌入式设备(大型系统中的组件)中的内存,“可用于产生不同程度的影响”并发起攻击。更难以预防和恢复。”
他补充道:“嵌入式设备尤其令人担忧,因为它们通常满足关键需求,但如果要擦除它们,则缺乏简单的检测和恢复选项。”他指出,他预计它会部署到“许多设备”上。
在攻击组织归因方面,研究人员坦陈目前无法确认AcidPour是否被用来破坏这些ISP。中断的持续时间较长,表明攻击比简单的DDoS或滋扰中断更为复杂。AcidPour是在中断开始3天后上传的,它符合必需的工具包的要求。如果是这样的话,它可能会成为这个黑客行动主义者角色和特定GRU行动之间的另一个联系。
乌克兰国家特殊通信和信息保护局的一名代表周二(19日)早些时候向CyberScoop证实,他们知道AcidPour以及“它对乌克兰境内的目标重复使用”。该机构告诉CyberScoop,该恶意软件是乌克兰人追踪的UAC-0165单位所为,该单位是在更广泛的 Sandworm保护伞下追踪的活动子组织。
乌克兰计算机紧急响应小组(CERT-UA)在2023年10月的消息中表示,UAC-0165多次攻击乌克兰电信实体,详细说明了对至少11家公司的攻击。
参考资源:
1.https://cyberscoop.com/russian-military-intelligence-may-have-deployed-wiper-against-multiple-ukrainian-isps/
2.https://www.sentinelone.com/labs/acidpour-new-embedded-wiper-variant-of-acidrain-appears-in-ukraine/
3.https://twitter.com/NSA_CSDirector/status/1770082506856898783
4.https://twitter.com/DougMadory/status/1770498153218818112?s=20


原文来源:网空闲话plus
“投稿联系方式:010-82992251   sunzhonghao@cert.org.cn”

继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存