Rus Bilgisayar Korsanları, Yükseltilmiş 'AcidPour' Kötü Amaçlı Yazılımıyla Ukrayna Telekomlarını Hedef Almış Olabilir

Siber güvenlik firması ayrıca kötü amaçlı yazılım ile AcidRain arasındaki bağlantıları doğruladı ve bunu Rus askeri istihbaratıyla ilişkili tehdit etkinliği kümelerine bağladı.

Güvenlik araştırmacıları Juan Andres Guerrero-Saade ve Tom Hegel, "AcidPour'un genişletilmiş yetenekleri, ağ, IoT, büyük depolama (RAID'ler) ve muhtemelen Linux x86 dağıtımlarını çalıştıran ICS cihazları dahil olmak üzere gömülü cihazları daha iyi devre dışı bırakmasını sağlayacaktır" dedi.

AcidPour, 2022'nin başlarında Rusya-Ukrayna savaşının başlangıcında Viasat KA-SAT modemlerini çalışır hale getirmek ve Ukrayna'nın askeri iletişimini felce uğratmak için kullanılan bir silici olan AcidRain'in bir çeşididir.

Ayrıca, x86 mimarisinde çalışan Linux sistemlerini hedeflerken, ikincisinin özelliklerini temel alır. AcidRain ise MIPS mimarisi için derlenmiştir.

AcidRain'in daha genel olduğu yerlerde, AcidPour gömülü cihazları, Depolama Alanı Ağlarını (SAN'lar), Ağa Bağlı Depolama (NAS) cihazlarını ve özel RAID dizilerini hedeflemek için mantık içerir.

Bununla birlikte, yeniden başlatma çağrılarının kullanımı ve özyinelemeli dizin silme için kullanılan yöntem söz konusu olduğunda her iki suş da örtüşür. Ayrıca, VPNFilter olarak bilinen Sandworm ile bağlantılı başka bir kötü amaçlı yazılımla ortak noktaları paylaşan IOCTL tabanlı cihaz silme mekanizması da aynıdır.

Araştırmacılar, "AcidPour'un en ilginç yönlerinden biri, Industroyer 2 gibi önemli kötü amaçlı yazılımların yanı sıra Ukrayna hedeflerine karşı yaygın olarak kullanılan pragmatik CaddyWiper'ı anımsatan kodlama stilidir" dedi.

C tabanlı kötü amaçlı yazılım, yürütülmesinin başlangıcında diskte kendi üzerine yazan ve aynı zamanda cihaz türüne bağlı olarak alternatif bir silme yaklaşımı kullanan bir kendi kendini silme işleviyle birlikte gelir.

AcidPour, Sandworm ile ilişkili olan ve Ukrayna'nın kritik altyapısını vurma geçmişine sahip UAC-0165 olarak izlenen bir bilgisayar korsanlığı ekibine atfedildi.

Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), Ekim 2023'te, düşmanı geçen yılın Mayıs ve Eylül ayları arasında ülkedeki en az 11 telekomünikasyon servis sağlayıcısını hedef alan saldırılarla suçladı.

Hegel, verdiği bir demeçte, "[AcidPour] 2023'te kullanılabilirdi" dedi. "Aktörün savaş boyunca sürekli olarak AcidRain/AcidPour ile ilgili araçları kullanmış olması muhtemel. Bu bakış açısındaki bir boşluk, halkın genellikle siber saldırılara karşı sahip olduğu içgörü düzeyine işaret ediyor - genellikle oldukça sınırlı ve eksik."

Solntsepyok (diğer adıyla Solntsepek veya SolntsepekZ) olarak bilinen bir tehdit aktörünün, AcidPour'un keşfinden üç gün önce, 13 Mart 2024'te Ukrayna'daki dört farklı telekomünikasyon operatörüne sızdığını ve hizmetlerini kesintiye uğrattığını iddia etmesi, Sandworm ile olan bağları daha da güçlendiriyor.

Ukrayna Devlet Özel İletişim Servisi'ne (SSSCIP) göre Solntsepyok, aynı zamanda Sandworm'u da işleten Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Başkanlığı (GRU) ile muhtemelen bağları olan bir Rus gelişmiş kalıcı tehdididir (APT).

Solntsepyok'un Mayıs 2023 gibi erken bir tarihte Kyivstar'ın sistemlerine girmekle suçlandığını da belirtmekte fayda var. İhlal, Aralık ayı sonlarında ortaya çıktı.

AcidPour'un en son saldırı setinde kullanılıp kullanılmadığı şu anda net olmasa da, keşif, tehdit aktörlerinin yıkıcı saldırılar düzenlemek ve önemli operasyonel etki yaratmak için taktiklerini sürekli olarak geliştirdiğini gösteriyor.

Araştırmacılar, "Bu ilerleme, yalnızca bu tehdit aktörlerinin teknik yeteneklerinde bir iyileştirme değil, aynı zamanda takip etkilerini en üst düzeye çıkaran, kritik altyapıyı ve iletişimi bozan hedefleri seçmek için hesaplanmış yaklaşımlarını da ortaya koyuyor" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği