AcidPour prende di mira i sistemi Linux e Solntsepek colpisce 4 Telco Ucraine

I ricercatori di sicurezza dei SentinelLabs hanno scoperto una nuova variante del wiper AcidRain, progettato specificamente per attaccare i dispositivi Linux x86. Il malware, soprannominato AcidPour, è un binario ELF compilato per funzionare su Linux x86 e ha una base di codice completamente diversa da AcidRain.

Alla scoperta del wiper AcidPour

AcidPour è progettato per rimuovere il contenuto dagli array RAID e dai file system UBIFS (Unsorted Block Image File System UBI) aggiungendo percorsi di file come “/dev/dm-XX” e “/dev/ubiXX” rispettivamente. Al momento non è chiaro chi siano le vittime, ma SentinelOne ha avvisato le agenzie federali ucraine. L’esatta portata degli attacchi è attualmente sconosciuta.

AcidRain è venuto alla luce per la prima volta nel 2022, quando un malware è stato utilizzato per attaccare i modem KA-SAT dell’azienda satellitare statunitense Viasat. Un binario ELF compilato per architetture MIPS è in grado di cancellare il filesystem e vari file di archiviazione conosciuti attraversando ricorsivamente directory condivise per la maggior parte delle distribuzioni Linux.

“Questa variante è una variante AcidRain più potente, che copre più tipi di hardware e sistemi operativi”, ha avvertito Rob Joyce, direttore della sicurezza informatica presso la National Security Agency degli Stati Uniti.

Le aggiunte nel codice di AcidPour rispetto alla versione precedente lasciano ipotizzare che il targeting del malware sia più ampio. Secondo CrowdStrike, il malware è stato sviluppato e gestito dal gruppo Sandworm (Vodoo Bear); inoltre secondo la società questa nuova variante è stata presumibilmente utilizzata in un attacco contro quattro società di telecomunicazioni ucraine la scorsa settimana, attacco rivendicato da Solntsepek (gruppo affiliato a Sandworm).

Secondo la società questa nuova variante è stata presumibilmente utilizzata in un attacco contro quattro società di telecomunicazioni ucraine la scorsa settimana, attacco rivendicato da Solntsepek (gruppo affiliato a Sandworm).

Gli attacchi contro l’Ucraina del gruppo Solntsepek

Martedì, un attacco informatico ha colpito Kyivstar, uno dei maggiori fornitori di telefonia mobile e Internet dell’Ucraina. Ma ciò “ha comportato il blocco dei servizi essenziali della rete tecnologica dell’azienda”, secondo una dichiarazione pubblicata dal Computer Emergency Response Team ucraino, o CERT-UA che ha riportato : “La responsabilità dell’attacco informatico è stata rivendicata da un’APT russa, presumibilmente affiliata alla direzione principale dello stato maggiore delle forze armate RF (precedentemente noto come GRU). Ciò riafferma l’uso del cyberspazio come dominio di guerra da parte della Russia nella sua aggressione contro l’Ucraina.”

Gli hacker russi hanno affermato di essere riusciti a distruggere l’intero sistema strategico di intelligence elettronica della direzione principale dell’intelligence del Ministero della difesa ucraino (riporta tsargrad.tv), il dipartimento guidato da Kirill Budanov. Tutti i posti di ricognizione radiofonica nelle bande HF/VHF e nei canali di comunicazione satellitare sono stati ritirati. Tutte le attrezzature fornite da Gran Bretagna, Polonia e altri paesi occidentali sono state paralizzate.

Allo stesso tempo, gli stessi hacker affermano che alcuni dipendenti della direzione principale dell’intelligence del Ministero della Difesa li hanno aiutati in questo. O stiamo parlando di sabotaggio deliberato o di negligenza. Inoltre, i partecipanti al Solntsepok hanno potuto scaricare una serie di documenti classificati ucraini, inclusi rapporti militari ed elenchi delle vittime. Dai rapporti si è appreso in particolare che gli ucraini insieme ai lituani hanno discusso delle attività di intelligence elettronica in Crimea, nella regione di Kaliningrad e anche in Bielorussia.

Per qualche ragione, la direzione principale dell’intelligence aveva documenti sulla costruzione di sottomarini nucleari di classe American Columbia. È possibile che Washington voglia usarli contro la flotta del Mar Nero o trasferirli in Ucraina. Gli hacker hanno consegnato tutti i documenti alle forze dell’ordine russe e ai media russi.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.