AcidPour Wiper
Un software amenazante conocido como AcidPour se ha utilizado potencialmente en ataques dirigidos a cuatro proveedores de telecomunicaciones en Ucrania. Los expertos en ciberseguridad han identificado vínculos entre este malware y AcidRain , vinculándolo con operaciones de amenazas asociadas con la inteligencia militar rusa. AcidPour cuenta con funcionalidades mejoradas, lo que lo hace experto en incapacitar varios dispositivos integrados, como equipos de red, dispositivos de Internet de las cosas (IoT), grandes sistemas de almacenamiento (RAID) y, potencialmente, sistemas de control industrial (ICS) que se ejecutan en distribuciones de Linux x86.
En particular, AcidPour es un derivado de AcidRain, un limpiador empleado inicialmente para sabotear los módems Viasat KA-SAT durante las primeras etapas del conflicto ruso-ucraniano en 2022, interrumpiendo las redes de comunicación militar de Ucrania.
AcidPour está equipado con un conjunto ampliado de capacidades intrusivas
El malware AcidPour amplía las capacidades de su predecesor al apuntar específicamente a sistemas Linux que operan en arquitectura x86. Por el contrario, AcidRain está diseñado para la arquitectura MIPS. Si bien AcidRain era de naturaleza más genérica, AcidPour incorpora lógica especializada para apuntar a dispositivos integrados, redes de área de almacenamiento (SAN), dispositivos de almacenamiento conectado a la red (NAS) y matrices RAID dedicadas.
Sin embargo, ambas variantes comparten puntos en común en el uso de llamadas de reinicio y métodos recursivos de limpieza de directorios. También emplean un mecanismo de limpieza de dispositivos basado en IOCTL, que se parece a otro malware asociado con Sandworm conocido como VPNFilter .
Un aspecto intrigante de AcidPour es su estilo de codificación, que recuerda al práctico malware CaddyWiper , que ha sido ampliamente utilizado contra objetivos ucranianos junto con amenazas notables como Industroyer2 . Este malware basado en C incluye una función de autoeliminación que se sobrescribe en el disco al inicio de la ejecución y al mismo tiempo implementa enfoques de eliminación alternativos según el tipo de dispositivo.
AcidPour ha sido vinculado a un grupo de hackers alineado con Rusia
Se cree que AcidPour fue implementado por un grupo de piratas informáticos identificado como UAC-0165, afiliado a Sandworm y con un historial de ataques a infraestructuras críticas en Ucrania.
En octubre de 2023, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) implicó a este adversario en ataques contra al menos 11 proveedores de servicios de telecomunicaciones en el país entre mayo y septiembre del año anterior. Es posible que se haya empleado AcidPour durante estos ataques, lo que sugiere un uso constante de herramientas relacionadas con AcidRain/AcidPour durante todo el conflicto.
Para reforzar aún más la conexión con Sandworm, un actor de amenazas conocido como Solntsepyok (también conocido como Solntsepek o SolntsepekZ) se atribuyó la responsabilidad de infiltrarse en cuatro operadores de telecomunicaciones ucranianos e interrumpir sus servicios el 13 de marzo de 2024, apenas tres días antes del descubrimiento de AcidPour.
Según el Servicio Estatal de Comunicaciones Especiales de Ucrania (SSSCIP), Solntsepyok es una Amenaza Persistente Avanzada (APT) rusa con probables vínculos con la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU), que supervisa Sandworm.
Vale la pena señalar que Solntsepyok también fue acusado de violar los sistemas de Kyivstar ya en mayo de 2023, y la violación salió a la luz a fines de diciembre de ese año.
Si bien sigue siendo incierto si AcidPour se utilizó en la ola de ataques más reciente, su descubrimiento sugiere que los actores de amenazas están refinando continuamente sus tácticas para ejecutar ataques destructivos y causar importantes interrupciones operativas.
Esta evolución no solo destaca una mejora en las capacidades técnicas de estos actores de amenazas, sino que también subraya su enfoque estratégico en la selección de objetivos para amplificar los efectos dominó, interrumpiendo así la infraestructura y las comunicaciones críticas.
