اكتشف الباحثون نسخة أكثر خطورة وغزارة من البرمجيات الخبيثة التي تستخدمها المخابرات العسكرية الروسية لتعطيل خدمة النطاق العريض عبر الأقمار الصناعية في أوكرانيا قبل الغزو الروسي للبلاد في فبراير 2022.
البديل الجديد "حمض بور,"يحمل العديد من أوجه التشابه مع سابقته ولكن تم تجميعه لبنية X86، على عكس AcidRain الذي استهدف الأنظمة المستندة إلى MIPS. تتضمن الماسحة الجديدة أيضًا ميزات لاستخدامها ضد نطاق أوسع بكثير من الأهداف مقارنة بـ AcidRain، وفقًا للباحثين في SentinelOne الذين اكتشفوا التهديد.
قدرات تدميرية أوسع
"تشمل القدرات التدميرية الموسعة لـ AcidPour منطق Linux Unsorted Block Image (UBI) وDevice Mapper (DM)، الذي يؤثر على الأجهزة المحمولة، وإنترنت الأشياء، والشبكات، أو في بعض الحالات، أجهزة ICS،" كما يقول توم هيجل، كبير باحثي التهديدات في SentinelOne. "أجهزة مثل شبكات منطقة التخزين (SANs)، والتخزين المتصل بالشبكة (NAS)، ومصفوفات RAID المخصصة أصبحت الآن أيضًا في نطاق تأثيرات AcidPour."
يقول هيجل إن القدرة الجديدة الأخرى لـ AcidPour هي وظيفة الحذف الذاتي التي تمحو جميع آثار البرامج الضارة من الأنظمة التي تصيبها. يقول إن AcidPour عبارة عن ممسحة أكثر تطورًا نسبيًا بشكل عام من AcidRain، مشيرًا إلى الاستخدام المفرط للأخيرة لعملية التفرع والتكرار غير المبرر لعمليات معينة كأمثلة على ارتباكها العام.
اكتشف SentinelOne حمض AcidRain في فبراير 2022 بعد هجوم إلكتروني قطع اتصال حوالي 10,000 مودم عبر الأقمار الصناعية المرتبطة بشبكة KA-SAT الخاصة بمزود الاتصالات Viasat. أدى الهجوم إلى تعطيل خدمة النطاق العريض للمستهلكين لآلاف العملاء في أوكرانيا، ولعشرات الآلاف من الأشخاص في أوروبا. وخلص SentinelOne إلى أن البرمجيات الخبيثة كانت على الأرجح من عمل مجموعة مرتبطة بـ Sandworm (المعروفة أيضًا باسم APT 28 وFancy Bear وSofacy)، وهي عملية روسية مسؤولة عن العديد من الهجمات السيبرانية التخريبية في أوكرانيا.
اكتشف باحثو SentinelOne لأول مرة المتغير الجديد، AcidPour، في 16 مارس، لكنهم لم يلاحظوا أي شخص يستخدمه في هجوم فعلي حتى الآن.
علاقات الدودة الرملية
كشف تحليلهم الأولي للممسحة عن أوجه تشابه متعددة مع AcidRain، وهو ما أكده بعد ذلك بحث أعمق. تضمنت التداخلات الملحوظة التي اكتشفها SentinelOne استخدام AcidPour لنفس آلية إعادة التشغيل مثل AcidRain، والمنطق المماثل لمسح الدليل العودي.
وجد SentinelOne أيضًا أن آلية المسح المستندة إلى IOCTL الخاصة بـ AcidPour هي نفس آلية المسح في AcidRain وVPNFilter، منصة هجوم وحدات التي قامت بها وزارة العدل الأمريكية مرتبطة بالدودة الرملية. IOCTL هي آلية لمسح البيانات أو مسحها بشكل آمن من أجهزة التخزين عن طريق إرسال أوامر محددة إلى الجهاز.
"أحد الجوانب الأكثر إثارة للاهتمام في AcidPour هو أسلوب الترميز الذي يذكرنا بالأسلوب العملي CaddyWiper يستخدم على نطاق واسع ضد الأهداف الأوكرانية إلى جانب البرامج الضارة البارزة مثل إندوستروير 2"، قال سنتينل وان. كل من CaddyWiper وIndustroyer 2 عبارة عن برامج ضارة تستخدمها مجموعات حكومية مدعومة من روسيا في هجمات مدمرة على منظمات في أوكرانيا، حتى قبل الغزو الروسي للبلاد في فبراير 2022.
وقال SentinelOne إن فريق CERT الأوكراني قام بتحليل AcidPour ونسبه إلى UAC-0165، وهو أحد عناصر التهديد الذي يعد جزءًا من مجموعة Sandworm.
يعد AcidPour وAcidRain من بين العديد من أدوات المسح التي استخدمتها الجهات الروسية ضد أهداف أوكرانية في السنوات الأخيرة - وخاصة بعد بداية الحرب الحالية بين البلدين. على الرغم من أن جهة التهديد تمكنت من تعطيل الآلاف من أجهزة المودم في هجوم Viasat، إلا أن الشركة تمكنت من استعادتها وإعادة نشرها بعد إزالة البرامج الضارة.
ومع ذلك، في العديد من الحالات الأخرى، اضطرت المؤسسات إلى تجاهل الأنظمة بعد هجوم ماسح. أحد الأمثلة البارزة هو عام 2012 شمعون هجوم مساحي على شركة أرامكو السعودية أدى إلى شل حوالي 30,000 ألف نظام في الشركة.
وكما كان الحال مع شمعون وAcidRain، لم تكن الجهات الفاعلة في مجال التهديد بحاجة إلى جعل الماسحات متطورة لتكون فعالة. وذلك لأن الوظيفة الوحيدة للبرامج الضارة هي الكتابة فوق البيانات أو حذفها من الأنظمة وجعلها عديمة الفائدة تكتيكات المراوغة وتقنيات التشويش المرتبطة بسرقة البيانات وهجمات التجسس الإلكتروني ليست ضرورية.
إن أفضل دفاع عن برامج المسح – أو للحد من الأضرار الناجمة عنها – هو تنفيذ نفس النوع من الدفاعات المستخدمة في برامج الفدية. وهذا يعني وجود نسخ احتياطية للبيانات المهمة وضمان وجود خطط وقدرات قوية للاستجابة للحوادث.
يعد تجزئة الشبكة أمرًا أساسيًا أيضًا لأن المساحات تكون أكثر فعالية عندما تكون قادرة على الانتشار إلى أنظمة أخرى، لذا فإن هذا النوع من الوضع الدفاعي يساعد في إحباط الحركة الجانبية.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware
