AcidPour prende di mira i sistemi Linux e Solntsepek colpisce 4 Telco Ucraine

Redazione RHC : 20 Marzo 2024 15:41

I ricercatori di sicurezza dei SentinelLabs hanno scoperto una nuova variante del wiper AcidRain, progettato specificamente per attaccare i dispositivi Linux x86. Il malware, soprannominato AcidPour, è un binario ELF compilato per funzionare su Linux x86 e ha una base di codice completamente diversa da AcidRain.

Alla scoperta del wiper AcidPour

AcidPour è progettato per rimuovere il contenuto dagli array RAID e dai file system UBIFS (Unsorted Block Image File System UBI) aggiungendo percorsi di file come “/dev/dm-XX” e “/dev/ubiXX” rispettivamente. Al momento non è chiaro chi siano le vittime, ma SentinelOne ha avvisato le agenzie federali ucraine. L’esatta portata degli attacchi è attualmente sconosciuta.

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

AcidRain è venuto alla luce per la prima volta nel 2022, quando un malware è stato utilizzato per attaccare i modem KA-SAT dell’azienda satellitare statunitense Viasat. Un binario ELF compilato per architetture MIPS è in grado di cancellare il filesystem e vari file di archiviazione conosciuti attraversando ricorsivamente directory condivise per la maggior parte delle distribuzioni Linux.

“Questa variante è una variante AcidRain più potente, che copre più tipi di hardware e sistemi operativi”, ha avvertito Rob Joyce, direttore della sicurezza informatica presso la National Security Agency degli Stati Uniti.

Le aggiunte nel codice di AcidPour rispetto alla versione precedente lasciano ipotizzare che il targeting del malware sia più ampio. Secondo CrowdStrike, il malware è stato sviluppato e gestito dal gruppo Sandworm (Vodoo Bear); inoltre secondo la società questa nuova variante è stata presumibilmente utilizzata in un attacco contro quattro società di telecomunicazioni ucraine la scorsa settimana, attacco rivendicato da Solntsepek (gruppo affiliato a Sandworm).

Secondo la società questa nuova variante è stata presumibilmente utilizzata in un attacco contro quattro società di telecomunicazioni ucraine la scorsa settimana, attacco rivendicato da Solntsepek (gruppo affiliato a Sandworm).

Gli attacchi contro l’Ucraina del gruppo Solntsepek

Martedì, un attacco informatico ha colpito Kyivstar, uno dei maggiori fornitori di telefonia mobile e Internet dell’Ucraina. Ma ciò “ha comportato il blocco dei servizi essenziali della rete tecnologica dell’azienda”, secondo una dichiarazione pubblicata dal Computer Emergency Response Team ucraino, o CERT-UA che ha riportato : “La responsabilità dell’attacco informatico è stata rivendicata da un’APT russa, presumibilmente affiliata alla direzione principale dello stato maggiore delle forze armate RF (precedentemente noto come GRU). Ciò riafferma l’uso del cyberspazio come dominio di guerra da parte della Russia nella sua aggressione contro l’Ucraina.”

Gli hacker russi hanno affermato di essere riusciti a distruggere l’intero sistema strategico di intelligence elettronica della direzione principale dell’intelligence del Ministero della difesa ucraino (riporta tsargrad.tv), il dipartimento guidato da Kirill Budanov. Tutti i posti di ricognizione radiofonica nelle bande HF/VHF e nei canali di comunicazione satellitare sono stati ritirati. Tutte le attrezzature fornite da Gran Bretagna, Polonia e altri paesi occidentali sono state paralizzate.

Allo stesso tempo, gli stessi hacker affermano che alcuni dipendenti della direzione principale dell’intelligence del Ministero della Difesa li hanno aiutati in questo. O stiamo parlando di sabotaggio deliberato o di negligenza. Inoltre, i partecipanti al Solntsepok hanno potuto scaricare una serie di documenti classificati ucraini, inclusi rapporti militari ed elenchi delle vittime. Dai rapporti si è appreso in particolare che gli ucraini insieme ai lituani hanno discusso delle attività di intelligence elettronica in Crimea, nella regione di Kaliningrad e anche in Bielorussia.

Per qualche ragione, la direzione principale dell’intelligence aveva documenti sulla costruzione di sottomarini nucleari di classe American Columbia. È possibile che Washington voglia usarli contro la flotta del Mar Nero o trasferirli in Ucraina. Gli hacker hanno consegnato tutti i documenti alle forze dell’ordine russe e ai media russi.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli