El equipo de inteligencia de amenazas de SentinelOne, SentinelLabs, ha descubierto una nueva variante del malware de limpieza AcidRain, conocido como AcidPour.
AcidRain es un malware de limpieza destructivo atribuido a la inteligencia militar rusa.
En mayo de 2022, AcidRain se utilizó en un ciberataque a gran escala contra los satélites KA-SAT de Viasat en Ucrania.
El malware dejó inoperativos los módems KA-SAT en Ucrania y provocó interrupciones adicionales en toda Europa al inicio de la invasión rusa.
AcidPour muestra proximidad con AcidRain
El 16 de marzo de 2024, los investigadores de SentinelLabs Juan Andrés Guerrero-Saade y Tom Hegel comenzaron a observar un binario de Linux sospechoso cargado desde Ucrania.
Rápidamente se dieron cuenta de que esta actividad mostraba similitudes superficiales con actividades maliciosas originadas por AcidRain.
El nuevo malware que observaron también mostró comportamientos similares al de AcidRain, como apuntar a directorios específicos y rutas de dispositivos comunes en distribuciones integradas de Linux.
Sin embargo, el nuevo malware pareció ampliar las capacidades y el potencial destructivo de AcidRain para incluir la lógica Linux Unsorted Block Image (UBI) y Device Mapper (DM).
UBI es un sistema de gestión de volúmenes diseñado específicamente para dispositivos de memoria flash sin formato, como los que se encuentran en unidades de estado sólido (SSD) y sistemas integrados.
DM es un sistema Linux que actúa como traductor entre aplicaciones (por ejemplo, sistemas de archivos) y dispositivos de almacenamiento físico.
Llamaron a la nueva variante AcidPour.
¡Ha sido un fin de semana interesante! ojos de águila @TomHegel Descubrió lo que parece ser una nueva variante de AcidRain. En particular, esta muestra fue compilada para dispositivos Linux x86; la llamamos ‘AcidPour’. Aquellos de ustedes que analizaron AcidRain reconocerán algunas de las cuerdas. Análisis 🧵 pic.twitter.com/wY3PJKaOwK
— JA Guerrero-Saade (@juanandres_gs) 18 de marzo de 2024
“Nuestro análisis técnico sugiere que las capacidades ampliadas de AcidPour le permitirían deshabilitar mejor los dispositivos integrados, incluidas las redes, el Internet de las cosas (IoT), el almacenamiento de gran tamaño (RAID) y posiblemente los dispositivos de sistemas de control industrial (ICS) que ejecutan distribuciones Linux x86”. escribieron los investigadores de SentinelLabs.
AcidPour atribuido al subgrupo Sandworm
Aunque el análisis de SentinelLabs mostró proximidad entre AcidRain y AcidPour, los investigadores evaluaron que las bases de código de los dos programas solo se superponen en aproximadamente un 30%.
Esto sugiere que AcidPour podría haber sido desarrollado por un actor de amenazas diferente.
Tras el informe inicial de Saade y Hegel sobre X, se informó que el SSCIP ucraniano atribuyó AcidPour a UAC-0165, un subgrupo de lo que se conoce como Sandworm.
Sandworm es un grupo de amenaza persistente avanzada (APT) que se cree que es operado por la Unidad 74455, una unidad de guerra cibernética del servicio de inteligencia militar de Rusia (GRU).
Los hallazgos de SentinelLabs coinciden con la interrupción duradera de múltiples redes de telecomunicaciones ucranianas, supuestamente desconectadas desde el 13 de marzo. La campaña maliciosa fue reivindicada públicamente por un personaje hacktivista operado por GRU a través de Telegram.
El director de la NSA, Rob Joyce, dijo en X que es “una amenaza que hay que observar”.
“Mi preocupación es elevada porque esta variante es una variante AcidRain más potente, que cubre más tipos de hardware y sistemas operativos”, añadió.
Esta es una amenaza que hay que observar. Mi preocupación es mayor porque esta variante es una variante de AcidRain más potente y cubre más tipos de hardware y sistemas operativos. https://t.co/h0s6pJGuzv
-Rob Joyce (@NSA_CSDirector) 19 de marzo de 2024
En su informe, Guerrero-Saade y Hegel de SentinelLabs concluyeron: “La transición de AcidRain a AcidPour, con sus capacidades ampliadas, subraya la intención estratégica de infligir un impacto operativo significativo. Esta progresión revela no sólo un refinamiento en las capacidades técnicas de estos actores de amenazas, sino también su enfoque calculado para seleccionar objetivos que maximicen los efectos posteriores, interrumpiendo la infraestructura y las comunicaciones críticas”.
