ロシアのハッカー、ウクライナ通信事業者に「AcidPour」マルウェアで攻撃

ロシアのハッカーが、’AcidPour’と呼ばれるアップグレードされたマルウェアを使用してウクライナの4つの通信事業者を標的にしていることが、SentinelOneの新たな調査で明らかになった。このサイバーセキュリティ企業は、AcidPourマルウェアとAcidRainマルウェアとの関連性を確認し、これらがロシア軍情報部と関連する脅威活動クラスターに結びついていることを示した。

AcidPourは、Linux x86ディストリビューションを実行する組み込みデバイス、ネットワーキング、IoTデバイス、大容量ストレージ（RAID）および可能性としてICSデバイスを無効にする機能を拡張したAcidRainのバリアントである。AcidRainは、2022年初頭のロシア・ウクライナ戦争の開始時にViasat KA-SATモデムを操作不能にし、ウクライナの軍事通信を麻痺させたウイルスである。AcidPourは、組み込みデバイス、ストレージエリアネットワーク（SAN）、ネットワーク接続ストレージ（NAS）アプライアンス、専用RAIDアレイを標的にするロジックを組み込んでいる。

AcidPourは、UAC-0165と追跡されるハッキンググループに帰属され、このグループはSandwormと関連があり、ウクライナの重要インフラに対する攻撃で知られている。ウクライナのコンピュータ緊急対応チーム（CERT-UA）は、2023年10月、この敵対者が前年の5月から9月にかけて少なくとも11の通信サービスプロバイダーを標的にした攻撃に関与していると報告した。

また、Solntsepyokという脅威アクターが2024年3月13日にウクライナの4つの異なる通信事業者に侵入し、そのサービスを妨害したと主張している。Solntsepyokは、ロシア連邦軍参謀本部情報総局（GRU）と関連があるとされるロシアの高度な持続的脅威（APT）であり、Sandwormの運用も行っている。

【ニュース解説】

SentinelOneの最新の調査によると、ロシアのハッカーがウクライナの4つの通信事業者を標的にし、’AcidPour’と呼ばれるアップグレードされたマルウェアを使用していることが明らかになりました。このマルウェアは、Linux x86ディストリビューションを実行する組み込みデバイス、ネットワーキング、IoTデバイス、大容量ストレージ（RAID）、およびICSデバイスを無効にする能力を持っています。AcidPourは、以前にウクライナの軍事通信を麻痺させたAcidRainマルウェアのバリアントであり、その機能を拡張しています。

AcidPourは、特定の組み込みデバイスやストレージソリューションを標的にするためのロジックを組み込んでおり、これにより、より広範な範囲のデバイスが攻撃の対象となります。このマルウェアは、UAC-0165というハッキンググループに帰属されており、このグループはSandwormと関連があり、ウクライナの重要インフラに対する攻撃で知られています。

この攻撃の背後にある技術的な側面を理解することは、サイバーセキュリティの専門家だけでなく、一般の人々にとっても重要です。AcidPourのようなマルウェアが持つ機能は、攻撃者がどのようにして重要なインフラを標的にし、その運用を妨害することができるのかを示しています。特に、組み込みデバイスやストレージシステムが攻撃されると、通信事業者だけでなく、そのサービスを利用する企業や個人にも深刻な影響を及ぼす可能性があります。

このような攻撃は、国家間の紛争がサイバー空間においても展開されていることを示しています。サイバー攻撃は、物理的な破壊を伴わないため、従来の軍事行動に比べて低い閾値で実行されることがあります。しかし、その影響は経済的、社会的に非常に大きく、国家の安全保障にとって重要な課題となっています。

このような攻撃に対抗するためには、通信事業者や重要インフラを運営する企業が、サイバーセキュリティ対策を強化し、常に最新の脅威情報に基づいて防御策を更新することが必要です。また、国際的な協力を通じて、サイバー攻撃に対する共通の対応策を模索することも重要です。サイバー空間における紛争は国境を越えるため、国際社会が一致して対応することが、このような脅威に効果的に対処する鍵となります。

from Russian Hackers Target Ukrainian Telecoms with Upgraded 'AcidPour' Malware.