Эксперты SentinelLabs обнаружили новую деструктивную малварь AcidPour, которая уничтожает данные и нацелена на IoT и сетевые устройств на базе Linux x86.
Исследователи полагают, что AcidPour является разновидностью другого известного вайпера — AcidRain. Напомним, что AcidRain — это малварь, предназначенная для уничтожения данных на взломанных роутерах и модемах, которая использовалась в атаке на провайдера спутниковой связи Viasat, что в итоге повлияло на доступность услуг на территории Украины и Европы.
В социальной сети X ИБ-эксперт Хуан Андрес Герреро Сааде (Juan Andrés Guerrero Saade) сообщил некоторые подробности о новом варианте вредоноса, отмечая, что пока неизвестно, использовался ли тот в каких-то реальных атаках, и кто мог быть его целью.
AcidPour во многом схож с AcidRain, например, нацелен на определенные каталоги и пути, характерные для embedded дистрибутивов Linux, однако кодовая база вайперов совпадает лишь на 30%. Это указывает либо на значительную эволюцию малвари, либо на то, что она имеет другое происхождение. Эксперт полагает, что скопировать некоторые функции AcidRain могла другая группа злоумышленников.
Логика уничтожения данных, используемая AcidPour, основана на IOCTL (input/output control) и схожа с плагином dstr для VPNFilter и все тем же AcidRain. Так, вайпер содержит ссылки на /dev/ubiXX, то есть явно ориентирован на embedded системы, использующие флэш-память.
Также имеются ссылки на dev/dm-XX и /dev/dm-XX, что связано с виртуальными блочными устройствами, связанными с Logical Volume Management (LVM), соответственно. К примеру, NAS компаний QNAP и Synology используют LVM для управления RAID-массивами.
Все это позволяет предположить, что AcidPour может быть нацелен на более широкий спектр устройств или систем, чем его предшественник, который атаковал лишь специфическую архитектуру MIPS.
Аналитики SentinelLabs поделились хешем малвари, образец которой можно найти на VirusTotal, и призвали ИБ-сообщество принять участие в совместном анализе, поскольку цели AcidPour и объем его распространения на данный момент неясны.
