Onderzoekers hebben een gevaarlijkere en productievere versie ontdekt van de wiper-malware die door de Russische militaire inlichtingendienst wordt gebruikt om satellietbreedbanddiensten in Oekraïne te verstoren, vlak voor de Russische invasie van het land in februari 2022.
De nieuwe variant “Zuurgieten,” vertoont meerdere overeenkomsten met zijn voorganger, maar is gecompileerd voor X86-architectuur, in tegenstelling tot AcidRain dat zich richtte op op MIPS gebaseerde systemen. De nieuwe ruitenwisser bevat ook functies voor gebruik tegen een aanzienlijk breder scala aan doelen dan AcidRain, volgens onderzoekers van SentinelOne die de dreiging ontdekten.
Bredere destructieve mogelijkheden
“De uitgebreide destructieve mogelijkheden van AcidPour omvatten Linux Unsorted Block Image (UBI) en Device Mapper (DM) logica, die van invloed zijn op handhelds, IoT, netwerken of, in sommige gevallen, ICS-apparaten”, zegt Tom Hegel, senior dreigingsonderzoeker bij SentinelOne. "Apparaten zoals Storage Area Networks (SAN's), Network Attached Storage (NAS) en speciale RAID-arrays vallen nu ook onder de effecten van AcidPour."
Een andere nieuwe mogelijkheid van AcidPour is een zelfverwijderingsfunctie die alle sporen van de malware wist van de systemen die ermee worden geïnfecteerd, zegt Hegel. AcidPour is over het geheel genomen een relatief geavanceerdere ruitenwisser dan AcidRain, zegt hij, waarbij hij wijst op het buitensporige gebruik van process forking en de ongegronde herhaling van bepaalde handelingen door laatstgenoemde als voorbeelden van de algemene slordigheid ervan.
SentinelOne ontdekte AcidRain in februari 2022 na een cyberaanval ongeveer 10,000 satellietmodems offline gehaald geassocieerd met het KA-SAT-netwerk van communicatieprovider Viasat. De aanval verstoorde de breedbanddiensten voor consumenten voor duizenden klanten in Oekraïne en voor tienduizenden mensen in Europa. SentinelOne concludeerde dat de malware waarschijnlijk het werk was van een groep geassocieerd met Sandworm (ook bekend als APT 28, Fancy Bear en Sofacy), een Russische operatie die verantwoordelijk is voor talrijke ontwrichtende cyberaanvallen in Oekraïne.
SentinelOne-onderzoekers zagen de nieuwe variant, AcidPour, voor het eerst op 16 maart, maar hebben nog niemand gezien die deze bij een daadwerkelijke aanval gebruikte.
Zandworm banden
Hun eerste analyse van de ruitenwisser bracht meerdere overeenkomsten met AcidRain aan het licht – wat een daaropvolgende diepere duik vervolgens bevestigde. De opmerkelijke overlappingen die SentinelOne ontdekte, waren onder meer het gebruik van AcidPour van hetzelfde herstartmechanisme als AcidRain, en identieke logica voor het recursief wissen van mappen.
SentinelOne ontdekte ook dat het op IOCTL gebaseerde wismechanisme van AcidPour hetzelfde is als het wismechanisme in AcidRain en in VPNFilter, een modulair aanvalsplatform dat het Amerikaanse ministerie van Justitie heeft gekoppeld aan Zandworm. IOCTL is een mechanisme voor het veilig wissen of wissen van gegevens van opslagapparaten door specifieke opdrachten naar het apparaat te sturen.
“Een van de meest interessante aspecten van AcidPour is de codeerstijl, die doet denken aan het pragmatische CaddyWiper breed gebruikt tegen Oekraïense doelen naast opmerkelijke malware zoals Industrieel 2”, aldus SentinelOne. Zowel CaddyWiper als Industroyer 2 zijn malware die door door Rusland gesteunde staatsgroepen wordt gebruikt bij destructieve aanvallen op organisaties in Oekraïne, zelfs vóór de Russische invasie van het land in februari 2022.
Het Oekraïense CERT heeft AcidPour geanalyseerd en toegeschreven aan UAC-0165, een bedreigingsacteur die deel uitmaakt van de Sandworm-groep, zei SentinelOne.
AcidPour en AcidRain behoren tot de vele ruitenwissers die Russische actoren de afgelopen jaren tegen Oekraïense doelen hebben ingezet – en vooral na het uitbreken van de huidige oorlog tussen de twee landen. Hoewel de bedreigingsacteur erin slaagde duizenden modems offline te halen tijdens de Viasat-aanval, kon het bedrijf ze herstellen en opnieuw inzetten nadat de malware was verwijderd.
In veel andere gevallen zijn organisaties echter gedwongen systemen weg te gooien na een wiper-aanval. Een van de meest opvallende voorbeelden is die van 2012 Shamoen ruitenwisseraanval op Saudi Aramco die ongeveer 30,000 systemen bij het bedrijf lamlegde.
Net als bij Shamoon en AcidRain hoefden dreigingsactoren doorgaans geen geavanceerde ruitenwissers te maken om effectief te zijn. Dat komt omdat de enige functie van de malware het overschrijven of verwijderen van gegevens van systemen is en ze onbruikbaar maakt ontwijkende tactieken en verduisteringstechnieken die verband houden met gegevensdiefstal en cyberspionageaanvallen zijn niet nodig.
De beste verdediging tegen ruitenwissers (of om de schade ervan te beperken) is het implementeren van dezelfde soort verdediging als tegen ransomware. Dat betekent dat er back-ups moeten zijn voor kritieke gegevens en dat er moet worden gezorgd voor robuuste incidentresponsplannen en -capaciteiten.
Netwerksegmentatie is ook van cruciaal belang omdat ruitenwissers effectiever zijn wanneer ze zich naar andere systemen kunnen verspreiden, zodat dit soort verdedigingshouding de zijwaartse beweging helpt tegenwerken.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware
