Sommario
La scena della sicurezza informatica è stata recentemente scossa dalla scoperta di AcidPour, un nuovo malware distruttivo con funzionalità di data-wiper, mirato specificamente ai dispositivi IoT e di rete Linux x86. Questo tipo di malware, progettato per cancellare file e dati sui dispositivi bersaglio, è spesso utilizzato per sabotare le operazioni di un’organizzazione per motivi politici o come diversivo per attacchi più ampi.
Origini e implicazioni di AcidPour
Rilevato per la prima volta dal ricercatore di sicurezza di SentinelLabs, Tom Hegel, AcidPour è considerato una variante di AcidRain, un noto data wiper utilizzato in attacchi contro fornitori di comunicazioni satellitari come Viasat, con impatti significativi sull’accessibilità dei servizi in Ucraina ed Europa. La comparsa di AcidPour, caricato dall’Ucraina il 16 marzo 2024, aggiunge complessità nel tracciare gli operatori del malware, specialmente considerando l’uso passato di AcidRain contro il paese.
Caratteristiche e funzionalità
Condividendo molte somiglianze con AcidRain, tra cui il bersaglio di specifici percorsi e directory comuni nelle distribuzioni Linux embedded, AcidPour mostra tuttavia solo un 30% di sovrapposizione nel codice, suggerendo un’evoluzione significativa o una diversa origine. Il malware incorpora una logica di cancellazione basata su controllo input/output (IOCTL), simile a quella del plugin ‘dstr’ di VPNFilter e AcidRain, indicando una continuazione o adattamento di tecniche maligne precedentemente documentate.
Possibili obiettivi
Le referenze a ‘/dev/ubiXX’ e ‘/dev/dm-XX’ nel codice di AcidPour indicano un interesse specifico per i sistemi embedded che utilizzano memoria flash e dispositivi di blocco virtuali associati alla Gestione dei Volumi Logici (LVM), rispettivamente. Questo suggerisce che AcidPour potrebbe prendere di mira una gamma più ampia di dispositivi o sistemi rispetto al suo predecessore, mirato principalmente all’architettura MIPS.
Chiamata alla collaborazione nella Comunità della Sicurezza
L’analista di SentinelLabs ha condiviso pubblicamente l’hash del malware, invitando la comunità di ricerca sulla sicurezza a partecipare all’analisi collaborativa e alla verifica, dato che gli obiettivi e il volume di distribuzione del malware rimangono sconosciuti. Un campione è disponibile su VirusTotal.
Attenzione e Precauzioni
L’emergere di AcidPour richiede una vigilanza rafforzata da parte della comunità di sicurezza informatica. “Questa è una minaccia da monitorare. La mia preoccupazione è elevata perché questa variante rappresenta una versione di AcidRain più potente, coprendo più tipologie di hardware e sistemi operativi,” ha avvertito Rob Joyce, Direttore della Cybersecurity presso la NSA.
