SentinelOne heeft een nieuwe malware-variant van AcidRain ontdekt, een wiper die Eutelsat KA-SAT modems onbruikbaar maakte in Oekraïne en allerlei verstoringen veroorzaakte in heel Europa aan het begin van de Russische invasie. De nieuwe malware, met de naam AcidPour, breidt de mogelijkheden en het destructieve potentieel van AcidRain uit met Linux Unsorted Block Image (UBI) en Device Mapper (DM)-logica. Daarmee kunnen embedded apparaten, waaronder netwerken, IoT, RAID's en mogelijk ICS-apparaten met Linux x86-distributies, effectiever worden uitgeschakeld.
Betrokkenheid van Russische militaire inlichtingendienst
Een analyse van SentinelLabs, het onderzoeksteam van SentinelOne, bevestigt het verband tussen AcidRain en AcidPour, waardoor deze in verband wordt gebracht met dreigingsclusters die eerder werden toegeschreven aan de Russische militaire inlichtingendienst. CERT-UA heeft de activiteit toegeschreven aan een Sandworm-subcluster.
Specifieke doelwitten van AcidPour moeten nog worden vastgesteld; de ontdekking valt samen met de aanhoudende verstoring van meerdere Oekraïense telecommunicatienetwerken, die naar verluidt sinds 13 maart offline zijn. De aanvallen op ISP’s worden opgeëist door een GRU-hacktivist via Telegram.
De ontdekking van AcidPour bewijst dat cyberondersteuning voor dit conflict zich twee jaar na AcidRain nog steeds ontwikkelt. De betrokken actoren zijn goed in het effectief orkestreren van grootschalige verstoringen en zijn vastberaden om dat op verschillende manieren te tonen.
De overgang van AcidRain naar AcidPour, met uitgebreide mogelijkheden, onderstreept het strategische doel om aanzienlijke schade te veroorzaken. Deze ontwikkeling laat niet alleen een verfijning zien in de technische capaciteiten van deze cybercriminelen, maar ook een berekende aanpak om doelen te selecteren die de effecten van een aanval maximaliseren.
SentinelLabs blijft deze ontwikkelingen volgen en hoopt dat de bredere onderzoeksgemeenschap dit steunt met aanvullende telemetrie en analyse.