Getty Images
Les chercheurs ont découvert un logiciel malveillant d’essuie-glace inédit lié au Kremlin et une opération il y a deux ans qui a détruit plus de 10 000 modems satellite situés principalement en Ukraine à la veille de l’invasion du pays voisin par la Russie.
AcidPour, comme les chercheurs de la société de sécurité Sentinel One ont nommé le nouveau malware, présente des similitudes frappantes avec AcidRain, un essuie-glace découvert en mars 2022 et dont Viasat a confirmé qu’il avait été utilisé dans l’attaque contre ses modems au début du mois. Les essuie-glaces sont des applications malveillantes conçues pour détruire les données stockées ou rendre les appareils inutilisables. Viasat a déclaré qu’AcidRain avait été installé sur plus de 10 000 modems Eutelsat KA-SAT utilisés par le fournisseur haut débit sept jours avant la découverte de l’essuie-glace en mars 2022. AcidRain a été installé sur les appareils après que des attaquants ont accédé au réseau privé de l’entreprise.
Sentinel One, qui a également découvert AcidRain, avait déclaré à l’époque que le précédent essuie-glace présentait suffisamment de chevauchements techniques avec des logiciels malveillants que le gouvernement américain avait attribués au gouvernement russe en 2018 pour qu’il soit probable qu’AcidRain et le logiciel malveillant de 2018, connu sous le nom de VPNFilter, étaient étroitement liés. à la même équipe de développeurs. À son tour, le rapport de Sentinel One publié jeudi, soulignant les similitudes entre AcidRain et AcidPour, fournit la preuve qu’AcidPour a également été créé par des développeurs travaillant pour le compte du Kremlin.
Les similitudes techniques incluent :
- Utilisation du même mécanisme de redémarrage
- La logique exacte de l’effacement récursif des répertoires
- Le même mécanisme d’effacement basé sur IOCTL.
AcidPour partage également des similitudes de programmation avec un autre malware attribué à Sandworm : CaddyWiper, qui a été utilisé contre diverses cibles en Ukraine.
« AcidPour est programmé en C sans s’appuyer sur des bibliothèques ou des importations compilées statiquement », note le rapport de jeudi. « La plupart des fonctionnalités sont implémentées via des appels système directs, dont beaucoup sont appelés via l’utilisation d’assembleurs en ligne et d’opcodes. » Les développeurs de CaddyWiper ont utilisé la même approche.
Renforçant la théorie selon laquelle AcidPour aurait été créé par le même groupe de menace russe à l’origine des précédentes attaques contre l’Ukraine, un représentant du Service national ukrainien des communications spéciales et de la protection de l’information a déclaré à Cyberscoop qu’AcidPour était lié à l’UAC-0165, un groupe dissident associé à Sandworm (un groupe menaçant beaucoup plus important dirigé par l’unité de renseignement militaire russe, GRU). Les représentants du Service national des communications spéciales et de la protection de l’information de l’Ukraine n’ont pas immédiatement répondu à un e-mail sollicitant des commentaires sur ce message.
Sandworm cible depuis longtemps les infrastructures critiques ukrainiennes. Des responsables ukrainiens ont déclaré en septembre dernier que l’UAC-0165 soutenait régulièrement de faux hacktivistes pour s’attribuer le mérite des attaques menées par le groupe.
Les chercheurs de Sentinel One, Juan Andrés Guerrero-Saade et Tom Hegel, ont ensuite émis l’hypothèse qu’AcidPour avait été utilisé pour perturber plusieurs réseaux de télécommunications ukrainiens, en panne depuis le 13 mars, trois jours avant que les chercheurs ne découvrent le nouvel essuie-glace. Ils soulignent les déclarations faites par un personnage connu sous le nom de SolntsepekZ sur Telegram, selon lesquelles il assume la responsabilité des piratages informatiques qui ont détruit Triangulum, un consortium fournissant des services téléphoniques et Internet sous la marque Triacom, et Misto TV.
Un message publié sur Telegram par un personnage connu sous le nom de SolntsepekZ.
Sentinelle 1
La panne d’une semaine a été confirmée de manière anecdotique et par la société Network Intelligence. Kentik et le réseau de diffusion de contenu Cloudflare, ce dernier indiquant que les sites restaient inutilisables au moment où ce message a été mis en ligne sur Ars. Jeudi après-midi, heure de Californie, le site Web de Misto-TV a affiché l’avis de panne de réseau suivant :
« Pour l’instant, nous ne pouvons pas confirmer qu’AcidPour a été utilisé pour perturber ces FAI », ont écrit Guerrero-Saade et Hegel dans le message de jeudi. « La longévité de la perturbation suggère une attaque plus complexe qu’un simple DDoS ou une perturbation intempestive. AcidPour, téléchargé 3 jours après le début de cette perturbation, conviendrait à la boîte à outils requise. Si tel est le cas, cela pourrait servir de lien supplémentaire entre ce personnage hacktiviste et des opérations spécifiques du GRU.»
Les chercheurs ont ajouté :
« La transition d’AcidRain à AcidPour, avec ses capacités étendues, souligne l’intention stratégique d’infliger un impact opérationnel significatif. Cette progression révèle non seulement un perfectionnement des capacités techniques de ces acteurs malveillants, mais également leur approche calculée pour sélectionner des cibles qui maximisent les effets de suivi, perturbant les infrastructures et les communications critiques.