Getty Images
Forscher haben eine noch nie dagewesene Wiper-Malware entdeckt, die mit dem Kreml und einer Operation vor zwei Jahren in Zusammenhang steht, bei der am Vorabend der russischen Invasion des Nachbarlandes mehr als 10.000 Satellitenmodems zerstört wurden, die sich hauptsächlich in der Ukraine befanden.
AcidPour, wie Forscher des Sicherheitsunternehmens Sentinel One die neue Malware benannt haben, weist starke Ähnlichkeiten mit AcidRain auf, einem im März 2022 entdeckten Wischer, von dem Viasat bestätigt hat, dass er bei dem Angriff auf seine Modems Anfang des Monats verwendet wurde. Wiper sind bösartige Anwendungen, die darauf abzielen, gespeicherte Daten zu zerstören oder Geräte funktionsunfähig zu machen. Viasat sagte, AcidRain sei sieben Tage vor der Entdeckung des Scheibenwischers im März 2022 auf mehr als 10.000 Eutelsat KA-SAT-Modems installiert worden, die der Breitbandanbieter nutzte. AcidRain wurde auf den Geräten installiert, nachdem sich Angreifer Zugang zum privaten Netzwerk des Unternehmens verschafft hatten.
Sentinel One, das auch AcidRain entdeckte, sagte damals, dass der frühere Wiper genügend technische Überschneidungen mit Malware aufwies, die die US-Regierung der russischen Regierung im Jahr 2018 zuschrieb, um es wahrscheinlich zu machen, dass AcidRain und die Malware von 2018, bekannt als VPNFilter, eng miteinander verbunden waren an dasselbe Entwicklerteam. Der Bericht von Sentinel One vom Donnerstag, der die Ähnlichkeiten zwischen AcidRain und AcidPour feststellt, liefert wiederum Beweise dafür, dass AcidPour auch von Entwicklern erstellt wurde, die im Auftrag des Kremls arbeiteten.
Zu den technischen Gemeinsamkeiten gehören:
- Verwendung des gleichen Neustartmechanismus
- Die genaue Logik des rekursiven Löschens von Verzeichnissen
- Derselbe IOCTL-basierte Löschmechanismus.
AcidPour weist auch Programmierähnlichkeiten mit zwei anderen Schadprogrammen auf, die Sandworm zugeschrieben werden: Industroyer2, das im Jahr 2022 auf Hochspannungs-Umspannwerke in der Ukraine abzielte, und CaddyWiper, das gegen verschiedene Ziele in der Ukraine eingesetzt wurde.
„AcidPour ist in C programmiert, ohne auf statisch kompilierte Bibliotheken oder Importe angewiesen zu sein“, heißt es in dem Bericht vom Donnerstag. „Die meisten Funktionen werden über direkte Systemaufrufe implementiert, viele werden durch die Verwendung von Inline-Assembly und Opcodes aufgerufen.“ Die Entwickler von CaddyWiper und Industroyer verfolgten den gleichen Ansatz.
Um die Theorie zu untermauern, dass AcidPour von derselben russischen Bedrohungsgruppe geschaffen wurde, die auch bei früheren Angriffen auf die Ukraine verantwortlich war, erklärte ein Vertreter des staatlichen Dienstes für Sonderkommunikation und Informationsschutz der Ukraine gegenüber Cyberscoop, dass AcidPour mit UAC-0165 in Verbindung steht, einer Splittergruppe, die mit Sandworm (a.) in Verbindung steht eine viel größere Bedrohungsgruppe des russischen Militärgeheimdienstes GRU). Vertreter des staatlichen Dienstes für Sonderkommunikation und Informationsschutz der Ukraine antworteten nicht sofort auf eine E-Mail mit der Bitte um einen Kommentar zu diesem Beitrag.
Sandworm hat eine lange Tradition darin, kritische Infrastrukturen in der Ukraine anzugreifen. Uac-0165 behauptete im vergangenen September, dass UAC-0165 regelmäßig gefälschte Hacktivisten-Persönlichkeiten unterstütze, um sich die Angriffe der Gruppe anzueignen.
Die Sentinel One-Forscher Juan Andrés Guerrero-Saade und Tom Hegel spekulierten weiter, dass AcidPour dazu verwendet wurde, mehrere ukrainische Telekommunikationsnetze zu stören, die seit dem 13. März ausgefallen waren, drei Tage bevor die Forscher den neuen Wischer entdeckten. Sie verweisen auf Aussagen einer Person namens SolntsepekZ auf Telegram, die die Verantwortung für Hacks übernahm, die Triangulum, ein Konsortium, das Telefon- und Internetdienste unter der Marke Triacom anbietet, und Misto TV zerstörten.
Eine Nachricht, die eine Person namens SolntsepekZ auf Telegram gepostet hat.
Sentinel Eins
Der einwöchige Ausfall wurde anekdotisch und von der Network-Intelligence-Firma bestätigt Kentik und das Content-Delivery-Netzwerk Cloudflare, wobei letzteres angab, dass die Websites zum Zeitpunkt der Veröffentlichung dieses Beitrags auf Ars noch nicht funktionsfähig waren. Am Donnerstagnachmittag kalifornischer Zeit wurde auf der Website von Misto-TV die folgende Meldung über einen Netzwerkausfall angezeigt:
„Zu diesem Zeitpunkt können wir nicht bestätigen, dass AcidPour verwendet wurde, um diese ISPs zu stören“, schrieben Guerrero-Saade und Hegel in ihrem Beitrag vom Donnerstag. „Die Langlebigkeit der Störung lässt auf einen komplexeren Angriff als auf einen einfachen DDoS-Angriff oder eine störende Störung schließen. AcidPour, das drei Tage nach Beginn dieser Störung hochgeladen wurde, würde die Anforderungen für das erforderliche Toolkit erfüllen. Wenn das der Fall ist, könnte es als eine weitere Verbindung zwischen dieser Hacktivistenpersönlichkeit und bestimmten GRU-Operationen dienen.“
Die Forscher fügten hinzu:
„Der Übergang von AcidRain zu AcidPour mit seinen erweiterten Fähigkeiten unterstreicht die strategische Absicht, erhebliche betriebliche Auswirkungen zu erzielen. Dieser Fortschritt zeigt nicht nur eine Verbesserung der technischen Fähigkeiten dieser Bedrohungsakteure, sondern auch ihren kalkulierten Ansatz bei der Auswahl von Zielen, die die Folgeeffekte maximieren und kritische Infrastrukturen und Kommunikation stören.“
