Rus Bilgisayar Korsanları, Yükseltilmiş 'AcidPour' Kötü Amaçlı Yazılımıyla Ukrayna Telekomlarını Hedef Almış Olabilir
SentinelOne'ın yeni bulgularına göre, AcidPour adlı veri silme kötü amaçlı yazılımı, Ukrayna'daki dört telekom sağlayıcısını hedef alan saldırılarda kullanılmış olabilir.
Siber güvenlik firması ayrıca kötü amaçlı yazılım ile AcidRain arasındaki bağlantıları doğruladı ve bunu Rus askeri istihbaratıyla ilişkili tehdit etkinliği kümelerine bağladı.
Güvenlik araştırmacıları Juan Andres Guerrero-Saade ve Tom Hegel, "AcidPour'un genişletilmiş yetenekleri, ağ, IoT, büyük depolama (RAID'ler) ve muhtemelen Linux x86 dağıtımlarını çalıştıran ICS cihazları dahil olmak üzere gömülü cihazları daha iyi devre dışı bırakmasını sağlayacaktır" dedi.
AcidPour, 2022'nin başlarında Rusya-Ukrayna savaşının başlangıcında Viasat KA-SAT modemlerini çalışır hale getirmek ve Ukrayna'nın askeri iletişimini felce uğratmak için kullanılan bir silici olan AcidRain'in bir çeşididir.
Ayrıca, x86 mimarisinde çalışan Linux sistemlerini hedeflerken, ikincisinin özelliklerini temel alır. AcidRain ise MIPS mimarisi için derlenmiştir.
AcidRain'in daha genel olduğu yerlerde, AcidPour gömülü cihazları, Depolama Alanı Ağlarını (SAN'lar), Ağa Bağlı Depolama (NAS) cihazlarını ve özel RAID dizilerini hedeflemek için mantık içerir.
Bununla birlikte, yeniden başlatma çağrılarının kullanımı ve özyinelemeli dizin silme için kullanılan yöntem söz konusu olduğunda her iki suş da örtüşür. Ayrıca, VPNFilter olarak bilinen Sandworm ile bağlantılı başka bir kötü amaçlı yazılımla ortak noktaları paylaşan IOCTL tabanlı cihaz silme mekanizması da aynıdır.
Araştırmacılar, "AcidPour'un en ilginç yönlerinden biri, Industroyer 2 gibi önemli kötü amaçlı yazılımların yanı sıra Ukrayna hedeflerine karşı yaygın olarak kullanılan pragmatik CaddyWiper'ı anımsatan kodlama stilidir" dedi.
C tabanlı kötü amaçlı yazılım, yürütülmesinin başlangıcında diskte kendi üzerine yazan ve aynı zamanda cihaz türüne bağlı olarak alternatif bir silme yaklaşımı kullanan bir kendi kendini silme işleviyle birlikte gelir.
AcidPour, Sandworm ile ilişkili olan ve Ukrayna'nın kritik altyapısını vurma geçmişine sahip UAC-0165 olarak izlenen bir bilgisayar korsanlığı ekibine atfedildi.
Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), Ekim 2023'te, düşmanı geçen yılın Mayıs ve Eylül ayları arasında ülkedeki en az 11 telekomünikasyon servis sağlayıcısını hedef alan saldırılarla suçladı.
Hegel, verdiği bir demeçte, "[AcidPour] 2023'te kullanılabilirdi" dedi. "Aktörün savaş boyunca sürekli olarak AcidRain/AcidPour ile ilgili araçları kullanmış olması muhtemel. Bu bakış açısındaki bir boşluk, halkın genellikle siber saldırılara karşı sahip olduğu içgörü düzeyine işaret ediyor - genellikle oldukça sınırlı ve eksik."
Solntsepyok (diğer adıyla Solntsepek veya SolntsepekZ) olarak bilinen bir tehdit aktörünün, AcidPour'un keşfinden üç gün önce, 13 Mart 2024'te Ukrayna'daki dört farklı telekomünikasyon operatörüne sızdığını ve hizmetlerini kesintiye uğrattığını iddia etmesi, Sandworm ile olan bağları daha da güçlendiriyor.
Ukrayna Devlet Özel İletişim Servisi'ne (SSSCIP) göre Solntsepyok, aynı zamanda Sandworm'u da işleten Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Başkanlığı (GRU) ile muhtemelen bağları olan bir Rus gelişmiş kalıcı tehdididir (APT).
Solntsepyok'un Mayıs 2023 gibi erken bir tarihte Kyivstar'ın sistemlerine girmekle suçlandığını da belirtmekte fayda var. İhlal, Aralık ayı sonlarında ortaya çıktı.
AcidPour'un en son saldırı setinde kullanılıp kullanılmadığı şu anda net olmasa da, keşif, tehdit aktörlerinin yıkıcı saldırılar düzenlemek ve önemli operasyonel etki yaratmak için taktiklerini sürekli olarak geliştirdiğini gösteriyor.
Araştırmacılar, "Bu ilerleme, yalnızca bu tehdit aktörlerinin teknik yeteneklerinde bir iyileştirme değil, aynı zamanda takip etkilerini en üst düzeye çıkaran, kritik altyapıyı ve iletişimi bozan hedefleri seçmek için hesaplanmış yaklaşımlarını da ortaya koyuyor" dedi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı