Araştırmacılar, Rusya’nın Şubat 2022’de ülkeyi işgal etmesinden hemen önce, Rus askeri istihbaratının Ukrayna’daki uydu geniş bant hizmetini kesintiye uğratmak için kullandığı temizleme amaçlı kötü amaçlı yazılımın daha tehlikeli ve üretken bir versiyonunu ortaya çıkardı.
Yeni varyant”asitDökün,“selefiyle pek çok benzerlik taşıyor ancak MIPS tabanlı sistemleri hedef alan acidRain’den farklı olarak X86 mimarisi için derlendi. Yeni silecek ayrıca, acidrain’den önemli ölçüde daha geniş bir hedef yelpazesine karşı kullanımına yönelik özellikler de içeriyor, bunu keşfeden SentinelOne’daki araştırmacılara göre tehdit.
Daha Geniş Yıkıcı Yetenekler
SentinelOne’da kıdemli tehdit araştırmacısı Tom Hegel, “AcidPour’un genişletilmiş yıkıcı yetenekleri arasında Linux Sıralanmamış Blok Görüntüsü (UBI) ve el bilgisayarlarını, IoT’yi, ağları veya bazı durumlarda ICS cihazlarını etkileyen Cihaz Eşleyici (DM) mantığı yer alıyor” diyor. “Depolama alanı ağları (SAN’lar), ağa bağlı depolama (NAS) ve özel RAID dizileri gibi cihazlar da artık acidPour’un etkileri kapsamında.”
Hegel, AsitPour’un bir diğer yeni yeteneğinin, kötü amaçlı yazılımın bulaştığı sistemlerden tüm izlerini silen kendi kendini silme işlevi olduğunu söylüyor. AsitPour’un, genel olarak, AsitRain’e göre nispeten daha karmaşık bir silici olduğunu söylüyor ve ikincisinin aşırı işlem çatallaması kullanmasına ve belirli operasyonların yersiz tekrarına, genel özensizliğin örnekleri olarak işaret ediyor.
SentinelOne, Şubat 2022’de bir siber saldırının ardından acidRain’i keşfetti. Yaklaşık 10.000 uydu modemi çevrimdışına aldı iletişim sağlayıcısı Viasat’ın KA-SAT ağıyla ilişkilidir. Saldırı, Ukrayna’da binlerce müşteriye ve Avrupa’da on binlerce kişiye tüketici geniş bant hizmetini kesintiye uğrattı. SentinelOne, kötü amaçlı yazılımın muhtemelen bir Rus operasyonu olan Sandworm (diğer adıyla APT 28, Fancy Bear ve Sofacy) ile ilişkili bir grubun işi olduğu sonucuna vardı. çok sayıda yıkıcı siber saldırı Ukrayna’da.
SentinelOne araştırmacıları, yeni varyant olan acidPour’u ilk olarak 16 Mart’ta tespit etti ancak henüz kimsenin bunu gerçek bir saldırıda kullandığını gözlemlemedi.
Kum Solucanı Bağları
Silecekle ilgili ilk analizleri, AsitRain ile birçok benzerliği ortaya çıkardı; daha sonra yapılan daha derin bir inceleme bunu doğruladı. SentinelOne’ın keşfettiği dikkate değer örtüşmeler arasında, acidpour’un acidrain ile aynı yeniden başlatma mekanizmasını kullanması ve özyinelemeli dizin silme için aynı mantığı kullanması yer alıyordu.
SentinelOne ayrıca, acidPour’un IOCTL tabanlı silme mekanizmasının, bir AsitRain ve VPNFilter’daki silme mekanizmasıyla aynı olduğunu buldu. modüler saldırı platformu ABD Adalet Bakanlığı’nın sahip olduğu Sandworm ile bağlantılı. IOCTL, cihaza belirli komutlar göndererek depolama cihazlarındaki verileri güvenli bir şekilde silmeye veya silmeye yönelik bir mekanizmadır.
“AcidPour’un en ilginç yönlerinden biri, pragmatik yaklaşımı anımsatan kodlama stilidir. CaddyWiper gibi önemli kötü amaçlı yazılımların yanı sıra Ukraynalı hedeflere karşı yaygın olarak kullanılmaktadır. Sanayici 2SentinelOne, “Hem CaddyWiper hem de Industroyer 2, Rusya’nın Şubat 2022’de ülkeyi işgal etmesinden önce bile, Rusya destekli devlet grupları tarafından Ukrayna’daki kuruluşlara yönelik yıkıcı saldırılarda kullanılan kötü amaçlı yazılımlardır.
SentinelOne, Ukrayna’daki CERT’nin AsitPour’u analiz ettiğini ve Sandworm grubunun bir parçası olan bir tehdit aktörü olan UAC-0165’e atfedildiğini söyledi.
AsitPour ve AsitRain, Rus aktörlerin son yıllarda, özellikle de iki ülke arasındaki mevcut savaşın başlamasından sonra Ukrayna hedeflerine karşı kullandığı çok sayıda silici arasında yer alıyor. Tehdit aktörü Viasat saldırısında binlerce modemi çevrimdışına almayı başarsa da şirket, kötü amaçlı yazılımı kaldırdıktan sonra bunları kurtarıp yeniden konuşlandırmayı başardı.
Ancak diğer birçok durumda kuruluşlar, bir silme saldırısının ardından sistemleri atmak zorunda kaldı. En dikkat çekici örneklerden biri 2012’dir. şaman Suudi Aramco’ya yönelik, şirketteki yaklaşık 30.000 sistemi felce uğratan silecek saldırısı.
Shamoon ve acidRain’de olduğu gibi, tehdit aktörlerinin genellikle etkili olabilmesi için silecekleri gelişmiş hale getirmesi gerekmedi. Bunun nedeni, kötü amaçlı yazılımın tek işlevinin sistemdeki verilerin üzerine yazmak veya verileri silmek ve bunları kullanılamaz hale getirmek olmasıdır. kaçamak taktikler veri hırsızlığı ve siber casusluk saldırılarıyla ilişkili gizleme teknikleri gerekli değildir.
Silecekler için en iyi savunma (veya onlardan gelebilecek zararı sınırlamak) fidye yazılımıyla aynı türde savunma uygulamaktır. Bu, kritik veriler için yedeklerin mevcut olması ve sağlam olay müdahale planları ve yeteneklerinin sağlanması anlamına gelir.
Ağ bölümlendirmesi de çok önemlidir, çünkü siliciler diğer sistemlere yayılabildiklerinde daha etkili olurlar, böylece bu tür bir savunma duruşu yanal hareketi engellemeye yardımcı olur.