Linux sistemleri sunucular, bulut ortamları ve IoT cihazları için yaygın olarak kullanılıyor ve bu da onları tıpkı diğer platformlar için olduğu gibi siber suçlular için çekici bir hedef haline getiriyor.
Yaygın kullanımı aynı zamanda büyük bir saldırı alanı sağlar ve açık kaynak özelliği, bilgisayar korsanlarının kodlarını zayıf noktalar açısından analiz etmesine olanak tanır.
SentinelLabs'taki siber güvenlik araştırmacıları kısa süre önce, x86 mimarisi üzerinde çalışan Linux sistemlerine saldırdığı tespit edilen “AcidPour” adlı, acidRain'in yeni bir kötü amaçlı yazılım çeşidini keşfetti.
AsitPour Linux Sistemlerine Saldırıyor
16 Mart 2024'te, Ukrayna'dan yüklenen şüpheli bir Linux ikili programının, Rusya'nın Ukrayna'yı işgali sırasında KA-SAT modemlerini çalışmaz hale getiren kötü şöhretli “AcidRain”e benzer ve genişletilmiş yeteneklere sahip bir silici olan “AcidPour” adlı yeni bir varyant olduğu belirlendi. 2022, Avrupa çapında hizmetleri kesintiye uğratacak.
Ücretsiz Web Semineri: Güvenlik Açığı ve 0 Günlük Tehditlerin Azaltılması
Güvenlik ekiplerinin 100'lerce güvenlik açığını önceliklendirmesi gerekmediğinden, hiç kimseye yardımcı olmayan Uyarı Yorgunluğu. :
- Günümüzün kırılganlık yorgunluğu sorunu
- CVSS'ye özgü güvenlik açığı ile risk tabanlı güvenlik açığı arasındaki fark
- Güvenlik açıklarının iş etkisine/riskine göre değerlendirilmesi
- Uyarı yorgunluğunu azaltmak ve güvenlik duruşunu önemli ölçüde geliştirmek için otomasyon
Riski doğru bir şekilde ölçmenize yardımcı olan AcuRisQ:
Yerinizi ayırtın
Bu, acidRain ve Rusya'nın VPNFilter kötü amaçlı yazılımı arasındaki orta düzeyde güven düzeyindeki gelişimsel benzerlikleri değerlendiren orijinal analizden bu yana tespit edilen ilk doğrulanan acidRain varyantıdır.
2022'den bu yana Ukrayna'ya karşı yapılan çok sayıda siber operasyona rağmen, başka acidrain varyantı gerçekleştirilmedi gözlemlendi.
AsidRain, gömülü cihazlardaki sabit kodlu yolları ayrım gözetmeksizin hedefleyen, MIPS tarafından derlenmiş bir Linux temizleyici iken, yeni acidPour çeşidi, farklı hedefler için uyarlanmış genişletilmiş, değiştirilmiş yeteneklere sahip bir x86 ELF ikili programıdır.
Mimariler arasında otomatik kod karşılaştırması, <%30'dan düşük benzerlik güvenirliği sağlar.
Bununla birlikte, derinlemesine analiz, kayda değer paylaşılan özellikleri ortaya çıkarır: yeniden başlatma mekanizması, özyinelemeli dizin silme mantığı ve daha da önemlisi, acidPour'u acidrain ve VPNFilter'ın “dstr” eklentisine bağlayan IOCTL tabanlı silme tekniği.
Doğrudan karşılaştırmayı sınırlayan mimari farklılıklara rağmen kanıtlar, acidPour'un, acidrain'in yıkıcı yeteneklerini genişleten gelişmiş, özel bir varyant olduğunu gösteriyor.
.webp)
acidPour, acidrain'in yeteneklerini UBI ve DM desteğiyle Linux cihazlarını hedef alacak şekilde genişletiyor.
El bilgisayarları, IoT, ağ iletişimi ve ICS cihazları gibi gömülü sistemler için /dev/ubiXX yolları aracılığıyla flash belleğe ham erişim sağlar.
Ek olarak, mantıksal birim yönetimi için /dev/dm-XX yollarını yöneterek SAN'lara, NAS'lara ve RAID dizilerine erişim sağlar. acidrain'in desteklediği cihazlar:-
.webp)
Pragmatic, acidPour'un kodlama stilidir; bu, CaddyWiper'ın Ukrayna hedeflerine karşı kullanılma şekline benzer.
C dilinde yazılmıştır, harici kütüphaneler olmadan dize manipülasyonu gibi işlemler için doğrudan sistem çağrılarını ve satır içi derlemeyi kullanır.
CERT-UA, bu aktiviteyi Ukrayna altyapısını hedef alan bir Sandworm APT alt grubu olan UAC-0165'e bağladı.
Eylül 2023'te Ukrayna'nın SSSCIP'si, UAC-0165'i, LiquidPour'un keşfinden önce izinsiz giriş yapıldığını iddia eden SolntsepekZ gibi GRU bağlantılı hacktivist kişilerle ilişkilendirdi.
.webp)
SolntsepekZ, Telegram'ı ve solntsepek gibi alan adlarını kullanıyor[. ]com (185.61.137.155).
Triacom gibi İSS'ler üzerindeki etki devam ederken, acidPour'un yetenekleri 13 Mart'tan itibaren bu aksaklığa uyuyor ve bu da bu kişi ile GRU operasyonları arasındaki bağlantıları akla getiriyor.
Dahası, acidPour gelişmiş iyileştirme, teknik uzmanlık ve sürekli izleme gerektiren hayati altyapı üzerindeki etkisini en üst düzeye çıkarmak için analitik bir yaklaşım sergiliyor.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.