Nieuwe versie van embedded wiper AcidRain opgedoken in Oekraïne

De nieuwe variant, met de naam AcidPour, breidt de mogelijkheden en het destructieve potentieel van AcidRain uit met Linux Unsorted Block Image (UBI) en Device Mapper (DM)-logica. Dit stelt kwaadwillenden in staat embedded apparaten waaronder netwerken, IoT, RAID's en mogelijk ICS-apparaten met Linux x86-distributies effectiever uit te schakelen.

Verstoring van Oekraïense telecomnetwerken

Een analyse van SentinelLabs, het onderzoeksteam van SentinelOne, bevestigt het verband tussen AcidRain en AcidPour, waardoor deze in verband wordt gebracht met dreigingsclusters die eerder werden toegeschreven aan de Russische militaire inlichtingendienst. CERT-UA heeft de activiteit toegeschreven aan een Sandworm-subcluster.

Specifieke doelwitten van AcidPour moeten nog worden vastgesteld; de ontdekking valt samen met de aanhoudende verstoring van meerdere Oekraïense telecommunicatienetwerken, die naar verluidt sinds 13 maart offline zijn. De aanvallen op ISP’s worden opgeëist door een GRU-hacktivist via Telegram.

De ontdekking van AcidPour bewijst dat cyberondersteuning voor dit conflict zich twee jaar na AcidRain nog steeds ontwikkelt. De betrokken actoren zijn goed in het effectief orkestreren van grootschalige verstoringen en zijn vastberaden om dat op verschillende manieren te tonen.

Schade veroorzaken als doel

De overgang van AcidRain naar AcidPour, met uitgebreide mogelijkheden, onderstreept het strategische doel om aanzienlijke schade te veroorzaken. Deze ontwikkeling laat niet alleen een verfijning zien in de technische capaciteiten van deze cybercriminelen, maar ook een berekende aanpak om doelen te selecteren die de effecten van een aanval maximaliseren.

SentinelLabs blijft deze ontwikkelingen volgen en hoopt dat de bredere onderzoeksgemeenschap dit steunt met aanvullende telemetrie en analyse. Een uitgebreid technische verslag is hier beschikbaar.