AcidPour busca inutilizar dispositivos Linux
Detectada una variante más agresiva del wiper AcidRain diseñada para borrar los datos de dispositivos Linux basados en la arquitectura x86
El avance de las tropas rusas entrando en territorio ucraniano el 24 de febrero de 2022 tuvo su réplica en el terreno virtual con un ataque que dejó inutilizados módems KA-SAT de Viasat, empresa que presta servicios de conexión de banda ancha a Internet por satélite.
AcidRain
AcidRain es un malware de tipo wiper detectado en marzo de 2022. Fue el utilizado por Rusia en el ataque a los dispositivos de Viasat, según confirmó la propia compañía. Esta clase de malware es infrecuente, más aún versiones compiladas para la arquitectura MIPS, que es usada en routers, módems y dispositivos IoT principalmente.
AcidPour
La muestra que se ha denominado AcipPour está compilada para x86, una arquitectura muy común que hace de este wiper una amenaza mucho más extendida. Tom Hegel fue el primero en identificar el binario, desgranado por Juan Andrés Guerrero-Saade en este hilo de twitter.
Aunque hay similitudes entre los dos ficheros ELF a nivel de cadenas, una comparativa de su código fuente arrojó un porcentaje de semejanza de algo menos del 30% por lo que estaríamos hablando de dos familias diferenciadas con funcionalidades parecidas.
La cadena /dev/ubiXX es característica de dispositivos empotrados que utilizan memorias flash (IoT, equipos de red y de control industrial).
/dev/dm-XX se asocia a la gestión de volúmenes lógicos (LVM) de Linux, una capa de abstracción entre sistemas de archivos y dispositivos de almacenamiento físico (similar a una matriz RAID).
Estas adiciones, además de la nueva arquitectura objetivo no dejan muchas dudas al respecto de la intención de los creadores de esta variante, que es la de poder usar su destructivo software para causar el máximo daño en la mayor cantidad de dispositivos posibles.
El propio director de ciberseguridad de la NSA, Rob Joyce, advertía en twitter de que esta es una amenaza a vigilar.
Fuentes y más información, actualizada con la publicación del análisis por SentinelOne:
- https://www.sentinelone.com/labs/acidpour-new-embedded-wiper-variant-of-acidrain-appears-in-ukraine/
- https://twitter.com/juanandres_gs/status/1769726024600768959
- https://www.bleepingcomputer.com/news/security/new-acidpour-data-wiper-targets-linux-x86-network-devices/
- https://thehackernews.com/2024/03/suspected-russian-data-wiping-acidpour.html
- https://www.sentinelone.com/labs/acidrain-a-modem-wiper-rains-down-on-europe/
- Muestra de AcidRain (MalwareBazaar)
- Muestra de AcidPour (MalwareBazaar)
