AcidPour Wiper

Un logiciel menaçant connu sous le nom d'AcidPour a potentiellement été utilisé dans des attaques visant quatre fournisseurs de télécommunications en Ukraine. Les experts en cybersécurité ont identifié des liens entre ce malware et AcidRain , le liant à des opérations de menace associées au renseignement militaire russe. AcidPour possède des fonctionnalités améliorées, ce qui le rend apte à neutraliser divers appareils embarqués tels que les équipements réseau, les appareils Internet des objets (IoT), les grands systèmes de stockage (RAID) et potentiellement les systèmes de contrôle industriel (ICS) fonctionnant sur les distributions Linux x86.

AcidPour est notamment un dérivé d'AcidRain, un essuie-glace initialement utilisé pour saboter les modems Viasat KA-SAT au début du conflit russo-ukrainien en 2022, perturbant ainsi les réseaux de communication militaires ukrainiens.

AcidPour est équipé d'un ensemble étendu de capacités intrusives

Le malware AcidPour étend les capacités de son prédécesseur en ciblant spécifiquement les systèmes Linux fonctionnant sur une architecture x86. En revanche, AcidRain est conçu pour l'architecture MIPS. Alors qu'AcidRain était de nature plus générique, AcidPour intègre une logique spécialisée pour cibler les périphériques embarqués, les réseaux de stockage (SAN), les appareils de stockage en réseau (NAS) et les matrices RAID dédiées.

Néanmoins, les deux variantes partagent des points communs dans leur utilisation des appels de redémarrage et des méthodes récursives d’effacement de répertoire. Ils utilisent également un mécanisme d'effacement des appareils basé sur les IOCTL, qui ressemble à un autre malware associé à Sandworm connu sous le nom de VPNFilter .

Un aspect intrigant d'AcidPour est son style de codage, qui rappelle le malware pratique CaddyWiper , qui a été largement utilisé contre des cibles ukrainiennes aux côtés de menaces notables comme Industroyer2 . Ce malware basé sur C inclut une fonction d'auto-suppression qui s'écrase sur le disque au début de l'exécution tout en mettant également en œuvre des approches d'effacement alternatives en fonction du type d'appareil.

AcidPour a été lié à un groupe de piratage aligné sur la Russie

AcidPour aurait été déployé par un groupe de piratage informatique identifié sous le nom d'UAC-0165, affilié à Sandworm et ayant l'habitude de cibler des infrastructures critiques en Ukraine.

En octobre 2023, l’équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA) a impliqué cet adversaire dans des attaques contre au moins 11 fournisseurs de services de télécommunications dans le pays entre mai et septembre de l’année précédente. AcidPour peut avoir été utilisé lors de ces attaques, ce qui suggère une utilisation cohérente des outils liés à AcidRain/AcidPour tout au long du conflit.

Renforçant encore le lien avec Sandworm, un acteur menaçant connu sous le nom de Solntsepyok (également appelé Solntsepek ou SolntsepekZ) a revendiqué la responsabilité de l'infiltration de quatre opérateurs de télécommunications ukrainiens et de la perturbation de leurs services le 13 mars 2024, trois jours seulement avant la découverte d'AcidPour.

Selon le Service spécial des communications de l'État d'Ukraine (SSSCIP), Solntsepyok est une menace avancée persistante (APT) russe ayant des liens probables avec la Direction principale de l'état-major général des forces armées de la Fédération de Russie (GRU), qui supervise Sandworm.

Il convient de noter que Solntsepyok a également été accusé d'avoir violé les systèmes de Kyivstar dès mai 2023, la violation ayant été révélée fin décembre de la même année.

Même s’il reste incertain si AcidPour a été utilisé lors de la vague d’attaques la plus récente, sa découverte suggère que les acteurs malveillants affinent continuellement leurs tactiques pour exécuter des attaques destructrices et provoquer d’importantes perturbations opérationnelles.

Cette évolution met non seulement en évidence une amélioration des capacités techniques de ces acteurs de la menace, mais souligne également leur approche stratégique dans la sélection des cibles afin d'amplifier les effets d'entraînement, perturbant ainsi les infrastructures et les communications critiques.