محققان نسخه خطرناک تر و پرکارتر بدافزار پاک کن را کشف کرده اند که توسط اطلاعات ارتش روسیه برای مختل کردن سرویس پهنای باند ماهواره ای در اوکراین درست قبل از حمله روسیه به این کشور در فوریه 2022 استفاده می شود.

نوع جدید، "اسید پور،” شباهت های متعددی با مدل قبلی خود دارد اما برای معماری X86 کامپایل شده است، برخلاف AcidRain که سیستم های مبتنی بر MIPS را هدف قرار می دهد. به گفته محققان SentinelOne که این تهدید را کشف کرده اند، برف پاک کن جدید همچنین دارای ویژگی هایی برای استفاده در برابر طیف وسیع تری از اهداف نسبت به AcidRain است.

قابلیت های مخرب گسترده تر

تام هگل، محقق ارشد تهدید در SentinelOne می‌گوید: «قابلیت‌های مخرب گسترش‌یافته AcidPour عبارتند از: Linux Unsorted Block Image (UBI) و Device Mapper (DM). دستگاه‌هایی مانند شبکه‌های فضای ذخیره‌سازی (SAN)، ذخیره‌سازی متصل به شبکه (NAS) و آرایه‌های RAID اختصاصی نیز اکنون در محدوده اثرات AcidPour هستند.

هگل می‌گوید یکی دیگر از قابلیت‌های جدید AcidPour یک عملکرد حذف خودکار است که تمام آثار بدافزار را از سیستم‌هایی که آلوده می‌کند پاک می‌کند. او می گوید که AcidPour به طور کلی یک برف پاک کن نسبتا پیچیده تر از AcidRain است و به استفاده بیش از حد این دومی از انشعاب فرآیند و تکرار بی دلیل برخی از عملیات به عنوان نمونه هایی از شلختگی کلی آن اشاره می کند.

SentinelOne AcidRain را در فوریه 2022 پس از یک حمله سایبری کشف کرد. حدود 10,000 مودم ماهواره ای را آفلاین کرد مرتبط با شبکه KA-SAT ارائه دهنده ارتباطات Viasat. این حمله خدمات باند پهن مصرف کننده را برای هزاران مشتری در اوکراین و ده ها هزار نفر در اروپا مختل کرد. SentinelOne به این نتیجه رسید که این بدافزار احتمالاً کار گروهی مرتبط با Sandworm (با نام مستعار APT 28، Fancy Bear و Sofacy)، یک عملیات روسی است که مسئول آن است. حملات سایبری مخرب متعدد در اوکراین

محققان SentinelOne برای اولین بار نوع جدید AcidPour را در 16 مارس مشاهده کردند اما هنوز کسی را مشاهده نکرده اند که از آن در یک حمله واقعی استفاده کند.

کراوات کرم شنی

تجزیه و تحلیل اولیه آنها از برف پاک کن شباهت های متعددی را با AcidRain نشان داد - که یک فرو رفتن عمیق تر بعدی آن را تأیید کرد. همپوشانی های قابل توجهی که SentinelOne کشف کرد شامل استفاده AcidPour از مکانیزم راه اندازی مجدد مشابه AcidRain و منطق یکسان برای پاک کردن دایرکتوری بازگشتی بود.

SentinelOne همچنین دریافت که مکانیسم پاک کردن مبتنی بر IOCTL AcidPour مانند مکانیسم پاک کردن در AcidRain و VPNFilter است. پلت فرم حمله مدولار که وزارت دادگستری آمریکا دارد مرتبط با کرم شنی. IOCTL مکانیزمی برای پاک کردن یا پاک کردن ایمن داده ها از دستگاه های ذخیره سازی با ارسال دستورات خاص به دستگاه است.

یکی از جالب‌ترین جنبه‌های AcidPour، سبک کدنویسی آن است که یادآور روش عمل‌گرایانه است. CaddyWiper به طور گسترده علیه اهداف اوکراینی در کنار بدافزارهای قابل توجهی مانند استفاده می شود صنعتگر 2SentinelOne گفت. هر دو CaddyWiper و Industroyer 2 بدافزارهایی هستند که توسط گروه‌های دولتی تحت حمایت روسیه در حملات مخرب به سازمان‌ها در اوکراین، حتی قبل از حمله روسیه به این کشور در فوریه 2022، استفاده می‌شوند.

SentinelOne گفت که CERT اوکراین AcidPour را تجزیه و تحلیل کرده و به UAC-0165، یک عامل تهدید که بخشی از گروه Sandworm است، نسبت داده است.

AcidPour و AcidRain از جمله برف پاک کن های متعددی هستند که بازیگران روسی در سال های اخیر - و به ویژه پس از شروع جنگ فعلی بین دو کشور - علیه اهداف اوکراینی به کار گرفته اند. حتی با وجود اینکه عامل تهدید توانست هزاران مودم را در حمله Viasat آفلاین کند، این شرکت توانست پس از حذف بدافزار آنها را بازیابی و مجدداً مستقر کند.

با این حال، در بسیاری از موارد دیگر، سازمان‌ها مجبور شده‌اند پس از حمله برف پاک کن، سیستم‌ها را کنار بگذارند. یکی از نمونه های قابل توجه سال 2012 است Shamoon حمله برف پاک کن به آرامکو سعودی که حدود 30,000 سیستم در این شرکت را فلج کرد.

همانطور که در مورد Shamoon و AcidRain بود، بازیگران تهدید معمولاً نیازی به پیچیده ساختن برف پاک کن ها برای مؤثر بودن ندارند. به این دلیل که تنها عملکرد بدافزار بازنویسی یا حذف داده‌ها از سیستم‌ها و بی‌استفاده کردن آنهاست. تاکتیک های فراری و تکنیک های مبهم سازی مرتبط با سرقت داده ها و حملات جاسوسی سایبری ضروری نیست.

بهترین دفاع برای برف پاک کن ها - یا محدود کردن آسیب های ناشی از آنها - اجرای همان نوع دفاعی است که برای باج افزارها وجود دارد. این بدان معناست که پشتیبان‌گیری برای داده‌های حیاتی و حصول اطمینان از برنامه‌ها و قابلیت‌های پاسخ به حادثه قوی وجود دارد.

تقسیم بندی شبکه نیز کلیدی است زیرا برف پاک کن ها زمانی که می توانند به سیستم های دیگر گسترش یابند موثرتر هستند، بنابراین این نوع حالت دفاعی به خنثی کردن حرکت جانبی کمک می کند.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware