Logo Zéphyrnet

Intelligence de données générative

Cyber sécurité

L'APT russe publie une variante plus mortelle du logiciel malveillant AcidRain Wiper

Republié par Platon
Republié par Platon

Date :

Vues: 89

Des chercheurs ont découvert une version plus dangereuse et plus prolifique du malware wiper utilisé par les renseignements militaires russes pour perturber le service haut débit par satellite en Ukraine juste avant l'invasion du pays par la Russie en février 2022.

La nouvelle variante, "AcidPour," présente de multiples similitudes avec son prédécesseur mais est compilé pour l'architecture X86, contrairement à AcidRain qui ciblait les systèmes basés sur MIPS. Le nouvel essuie-glace comprend également des fonctionnalités permettant son utilisation contre un éventail de cibles beaucoup plus large qu'AcidRain, selon les chercheurs de SentinelOne qui ont découvert la menace.

Capacités destructrices plus larges

« Les capacités destructrices étendues d'AcidPour incluent la logique Linux Unsorted Block Image (UBI) et Device Mapper (DM), qui ont un impact sur les ordinateurs de poche, l'IoT, les réseaux ou, dans certains cas, les appareils ICS », explique Tom Hegel, chercheur principal en menaces chez SentinelOne. « Les appareils tels que les réseaux de stockage (SAN), le stockage en réseau (NAS) et les matrices RAID dédiées sont également désormais concernés par les effets d'AcidPour. »

Une autre nouvelle fonctionnalité d'AcidPour est une fonction d'auto-suppression qui efface toute trace du malware des systèmes qu'il infecte, explique Hegel. AcidPour est globalement un essuie-glace relativement plus sophistiqué qu'AcidRain, dit-il, soulignant l'utilisation excessive par ce dernier du processus de bifurcation et la répétition injustifiée de certaines opérations comme exemples de sa négligence globale.

SentinelOne a découvert AcidRain en février 2022 suite à une cyberattaque qui a mis hors ligne quelque 10,000 XNUMX modems satellite associé au réseau KA-SAT du fournisseur de communications Viasat. L’attaque a perturbé le service haut débit grand public pour des milliers de clients en Ukraine et pour des dizaines de milliers de personnes en Europe. SentinelOne a conclu que le malware était probablement l'œuvre d'un groupe associé à Sandworm (alias APT 28, Fancy Bear et Sofacy), une opération russe responsable de de nombreuses cyberattaques perturbatrices en Ukraine.

Les chercheurs de SentinelOne ont repéré pour la première fois la nouvelle variante, AcidPour, le 16 mars, mais n'ont encore observé personne l'utilisant dans une attaque réelle.

Liens vers des sables

Leur analyse initiale de l’essuie-glace a révélé de multiples similitudes avec AcidRain – ce qu’une analyse plus approfondie ultérieure a ensuite confirmée. Les chevauchements notables découverts par SentinelOne incluaient l'utilisation par AcidPour du même mécanisme de redémarrage qu'AcidRain et une logique identique pour l'effacement récursif des répertoires.

SentinelOne a également constaté que le mécanisme d'effacement basé sur IOCTL d'AcidPour était le même que celui d'AcidRain et de VPNFilter, un plateforme d'attaque modulaire que le ministère américain de la Justice a lié à Sandworm. IOCTL est un mécanisme permettant d'effacer ou d'effacer en toute sécurité les données des périphériques de stockage en envoyant des commandes spécifiques au périphérique.

« L’un des aspects les plus intéressants d’AcidPour est son style de codage, qui rappelle le pragmatique CaddieEssuie-Glace largement utilisé contre des cibles ukrainiennes aux côtés de logiciels malveillants notables comme Industrie 2», a déclaré SentinelOne. CaddyWiper et Industroyer 2 sont des logiciels malveillants utilisés par des groupes étatiques soutenus par la Russie dans des attaques destructrices contre des organisations en Ukraine, avant même l'invasion du pays par la Russie en février 2022.

Le CERT ukrainien a analysé AcidPour et l'a attribué à UAC-0165, un acteur menaçant qui fait partie du groupe Sandworm, a déclaré SentinelOne.

AcidPour et AcidRain font partie des nombreux essuie-glaces que les acteurs russes ont déployés contre des cibles ukrainiennes ces dernières années – et en particulier après le début de la guerre actuelle entre les deux pays. Même si l’auteur de la menace a réussi à mettre hors ligne des milliers de modems lors de l’attaque Viasat, l’entreprise a pu les récupérer et les redéployer après avoir supprimé le logiciel malveillant.

Dans de nombreux autres cas, cependant, les organisations ont été contraintes d’abandonner leurs systèmes à la suite d’une attaque par wiper. L’un des exemples les plus marquants est celui de 2012. Shamoon attaque d'essuie-glace contre Saudi Aramco qui a paralysé quelque 30,000 XNUMX systèmes de l'entreprise.

Comme ce fut le cas avec Shamoon et AcidRain, les auteurs de menaces n’ont généralement pas besoin de fabriquer des essuie-glaces sophistiqués pour être efficaces. En effet, la seule fonction du malware est d'écraser ou de supprimer les données des systèmes et de les rendre inutiles. tactiques d'évasion et les techniques d'obscurcissement associées au vol de données et aux attaques de cyberespionnage ne sont pas nécessaires.

La meilleure défense contre les essuyeurs – ou pour limiter leurs dégâts – est de mettre en œuvre le même type de défense que pour les ransomwares. Cela signifie disposer de sauvegardes en place pour les données critiques et garantir des plans et des capacités robustes de réponse aux incidents.

La segmentation du réseau est également essentielle, car les essuie-glaces sont plus efficaces lorsqu’ils peuvent se propager à d’autres systèmes, de sorte que ce type de posture de défense contribue à contrecarrer les mouvements latéraux.

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.