Un nouveau malware destructeur nommé Acid Pour a été repéré dans la nature, doté d’une fonctionnalité d’essuie-glace de données et ciblant les périphériques IoT et réseau Linux x86.

Les essuie-glaces de données sont une catégorie de logiciels malveillants conçus pour des attaques destructrices qui suppriment des fichiers et des données sur des appareils ciblés. Ce type de malware est couramment utilisé pour perturber les opérations d’une organisation pour des raisons politiques ou pour se distraire d’une attaque plus importante.

Le nouveau malware repéré par Tom Hegel, chercheur en sécurité chez SentinelLabs, AcidPour, est considéré comme une variante de l’essuie-glace de données AcidRain.

AcidRain est un malware d’effacement de données conçu pour effacer les fichiers sur les routeurs et les modems. Le logiciel malveillant a été utilisé dans une cyberattaque contre le fournisseur de communications par satellite Viasat, qui a eu un impact sur la disponibilité des services en Ukraine et en Europe.

AcidPour a été téléchargé depuis l’Ukraine le 16 mars 2024, ce qui complique le traçage de ses opérateurs, AcidRain ayant été utilisé contre le pays dans le passé.

Un fil sur X de Juan Andrés Guerrero Saade fournit quelques détails sur la nouvelle variante, bien qu’on ignore si elle a été utilisée dans des attaques dans la nature et qui auraient pu être ses cibles.

L’essuie-glace à l’acide
Acid Pour partage de nombreuses similitudes avec Acid Rain, telles que le ciblage de répertoires spécifiques et de chemins d’accès aux périphériques courants dans les distributions Linux embarquées, mais leur base de code se chevauche d’environ 30%.

Cela indique soit une évolution significative, soit éventuellement une origine différente. Guerrero Saade dit qu’il n’est pas improbable qu’un autre groupe d’attaquants ait reproduit certaines des fonctionnalités de Acid Rain.

Comparaison de codes montrant des similitudes fonctionnelles

Acid Pour partage une logique d’effacement basée sur le contrôle d’entrée/sortie (IOCTL) avec le plugin « dstr » de VPNFilter et Acid Rain, indiquant une continuation ou une adaptation des techniques malveillantes précédemment documentées.

Le nouveau malware inclut des références à « / dev / ubiXX  » indiquant une focalisation sur les systèmes embarqués utilisant de la mémoire flash.

Il y a aussi une référence à et ‘/ dev / dm-XX’, qui sont des périphériques de blocs virtuels associés à la gestion des volumes logiques (LVM), respectivement. Les périphériques de stockage connectés au réseau, y compris QNAP et Synology, utilisent LVM pour gérer les baies RAID.

Définition d’un large champ de ciblage des appareils

Ces ajouts suggèrent que Acid Pour pourrait cibler une plus large gamme d’appareils ou de systèmes que son prédécesseur, qui ciblait l’architecture MIPS plus spécifique.

L’analyste de Sentinel Labs a partagé publiquement le hachage du malware et a appelé la communauté des chercheurs en sécurité à participer à une analyse et une vérification collaboratives, car les cibles et le volume de distribution sont actuellement inconnus. Un échantillon peut être trouvé sur VirusTotal.

Ces ajouts suggèrent que Acid Pour pourrait cibler une plus large gamme d’appareils ou de systèmes que son prédécesseur, qui ciblait l’architecture MIPS plus spécifique.

« C’est une menace à surveiller. Ma préoccupation est élevée car cette variante est une variante plus puissante des pluies acides, couvrant plus de types de matériel et de systèmes d’exploitation », a averti Rob Joyce, directeur de la cybersécurité de la NSA.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *