Un chercheur en sécurité a identifié un nouveau logiciel malveillant destructeur de données, nommé AcidPour, et qui cible les équipements réseau ainsi que des appareils avec un système Linux. Voici ce que l’on sait sur cette menace.
AcidPour, qui est considéré comme une variante du malware AcidRain, est, ce que l’on appelle un “data wiper”, c’est-à-dire un malware dont l’unique but est de détruire les données présentes sur l’appareil infecté. Autrement dit, le malware AcidPour est destiné à effectuer des actes de sabotages. D’ailleurs, AcidRain a été utilisé dans le cadre d’une cyberattaque contre le fournisseur de communications par satellite Viasat, ce qui avait eu un impact important sur la disponibilité des services en Ukraine et en Europe.
Le malware AcidPour quant à lui, a été identifié par Tom Hegel, chercheur en sécurité chez SentinelLabs, et il a été téléchargé depuis l’Ukraine le 16 mars 2024. Il présente plusieurs similitudes avec AcidRain, notamment au sein des chemins pris pour cible sur les machines infectées. Néanmoins, les deux malwares ont uniquement 30% de code source en commun. AcidPour pourrait être une variante beaucoup plus évoluée et puissante qu’AcidRain, grâce à la “prise en charge” de la destruction de données sur une plus grande variété d’appareils.
AcidPour est un malware destructeur de données capable de s’attaquer à des équipements réseau, notamment des routeurs, mais aussi des appareils avec une distribution Linux embarquée (Linux x86). Par exemple, il pourrait s’agir de cibler des NAS dont le système est basé sur Linux, car le malware s’intéresse aux chemins de type "/dev/dm-XX.
Sur X (ex-Twitter), Rob Joyce, directeur de la cybersécurité de la NSA, affiche une certaine inquiétude vis-à-vis de ce logiciel malveillant :
Il s’agit d’une menace à surveiller. Mon inquiétude est d’autant plus grande que cette variante est plus puissante que la variante AcidRain et qu’elle couvre davantage de types de matériel et de systèmes d’exploitation.
Enfin, sachez que SentinelLabs a partagé un échantillon de ce malware sur VirusTotal, et vous pouvez le retrouver sur cette page publique.
– Sources :