En las guerras actuales, los ataques no solo se libran en el campo de batalla. Una manera de menguar los ánimos y las fuerzas de los enemigos es atacar ya no solo a sus infraestructuras tecnológicas sino llevar a cabo un contraataque más sigiloso y silencioso. ¿Cómo? Mediante el uso de malware. La invasión rusa de Ucrania y la posterior guerra de Putin contra su país vecino ha escrito ya varias páginas sobre el uso de malware en conflictos bélicos modernos, es el caso de AcidPour. De todos es sabido que Rusia posee uno de los «ejércitos tech» más importantes del mundo.
Buena parte de sus acciones son para llevar a cabo campañas de desestabilización de democracias, injerencias políticas, difusión de propaganda y bulos, utilización de un enorme ejército de bots y ataques directos contra instituciones y países.
Sin embargo, ningún malware como este se había descubierto hasta la fecha. La empresa de seguridad Sentinel One asegura que se trata de un malware nunca antes visto. Y que se usó hace algo más de dos años en los primeros compases de la invasión de Ucrania.
Bautizado como AcidPour, se trata de un malware de limpieza que consiguió eliminar hasta 10.000 módems satélites que estaban ubicados en Ucrania. Éste tiene similitudes con un viejo conocido, AcidRain, que se instaló en 10.000 módems Eutelsat KA-SAT utilizados por el proveedor de banda ancha
AcidRain se instaló en los dispositivos después de que los atacantes obtuvieran acceso a redes privadas. Ya en 2018, los servicios de inteligencia de EEUU afirmaron que AcidRain y el malware VPNFilter estaban estrechamente vinculados. Mientras que el actual AcidPour, creado por desarrolladores estrechamente vinculados con el Kremlin, guarda similitudes técnicas con AcidRain como el uso del mismo mecanismo de reinicio, la lógica exacta del borrado recursivo de directorios y el mismo mecanismo de borrado basado en IOCTL.
AcidPour también comparte similitudes de programación con otra pieza de malware atribuida a Sandworm, se trata de CaddyWiper, que se utilizó contra varios objetivos en Ucrania.
Así es el malware AcidPour
AcidPour está programado en C sin depender de bibliotecas o importaciones compiladas estáticamente. Gran parte de su funcionalidad se implementa a través de llamadas directas al sistema y muchas de estas llamadas mediante el uso de ensambladores en línea y códigos de operación.
También apunta a directorios específicos y rutas de dispositivos comunes en las distribuciones integradas de Linux y su base de código se superpone en un 30% aproximadamente.
Desde Ucrania van más allá y afirman que AcidPour estaba vinculado a UAC-0165, un grupo disidente asociado con Sandworm, un grupo de amenazas mucho más grande dirigido por la unidad de inteligencia militar de Rusia, la GRU.
Para poner en contexto a Sandworm, cabe recordar su amplia trayectoria durante décadas en ataques contra la infraestructura crítica ucraniana. De hecho, las autoridades ucranianas han afirmado que UAC-0165 apoya regularmente a falsos hacktivistas para atribuirse el mérito de los ataques que lleva a cabo el grupo.
Desde Sentinel One creen que AcidPour se utilizó para interrumpir múltiples redes de telecomunicaciones ucranianas. Y que, también, podría apuntar a una gama más amplia de dispositivos o sistemas que su predecesor, que se dirigia a la arquitectura MIPS más específica.
Desde Sentinel compartieron públicamente el hash del malware para pedir a investigadores internacionales de seguridad que participen en su análisis.
«Esta es una amenaza a tener en cuenta. Mi preocupación es elevada porque esta variante es una variante más poderosa de AcidRain, que cubre más tipos de hardware y sistemas operativos», advirtió Rob Joyce, director de ciberseguridad de la NSA.