البرامج الضارة لمسح BiBi-Linux

تم التعرف على مجموعة من نشطاء القرصنة الداعمين لحركة حماس باستخدام برنامج ضار جديد قائم على نظام التشغيل Linux يسمى BiBi-Linux Wiper. تستهدف هذه البرامج الضارة بشكل خاص المنظمات الإسرائيلية خلال الصراع الدائر بين إسرائيل وحماس.

تم تصميم BiBi-Linux Wiper ليكون x64 ELF قابلاً للتنفيذ ولا يستخدم تدابير تشويش أو حماية. تسمح هذه البرامج الضارة للمهاجمين بتعيين المجلدات المستهدفة، وإذا تم تنفيذها باستخدام أذونات الجذر، فمن المحتمل أن تجعل نظام التشغيل بأكمله غير صالح للعمل.

تم اكتشاف وظائف أخرى في البرنامج الضار BiBi-Linux Wiper

ومن بين قدراتها المتنوعة، تستخدم البرمجيات الخبيثة تعدد العمليات لإتلاف الملفات في وقت واحد، وبالتالي تعزيز سرعتها ومدى وصولها. ويحقق ذلك عن طريق الكتابة فوق الملفات وإعادة تسميتها بسلسلة محددة مشفرة "BiBi" بتنسيق "[RANDOM_NAME].BiBi[NUMBER]". بالإضافة إلى ذلك، يمكنه استبعاد أنواع معينة من الملفات من التلف.

تم تطوير هذه البرامج الضارة المدمرة باستخدام C/C++، ويبلغ حجم ملفها 1.2 ميغابايت. فهو يمنح جهة التهديد القدرة على تحديد المجلدات المستهدفة باستخدام معلمات سطر الأوامر، حيث يكون الاختيار الافتراضي هو الدليل الجذر ('/') إذا لم يتم توفير مسار محدد. ومع ذلك، فإن تنفيذ الإجراءات على هذا المستوى يتطلب أذونات الجذر.

والجدير بالذكر أن BiBi-Linux Wiper يستخدم الأمر "nohup" أثناء التنفيذ للتأكد من أنه يعمل بسلاسة في الخلفية. يتم استثناء أنواع معينة من الملفات من الكتابة فوقها، مثل تلك التي لها الامتداد .out أو .so. يعد هذا الاستثناء ضروريًا لأن التهديد يعتمد على ملفات مثل bibi-linux.out وnohup.out لتشغيله، بالإضافة إلى المكتبات المشتركة المهمة لنظام التشغيل Unix/Linux (ملفات .so).

يركز المتسللون أنشطتهم على أهداف رفيعة المستوى في الشرق الأوسط

ويعتقد الباحثون أن جهة التهديد المشتبه بها المرتبطة بحركة حماس، والمعروفة بعدة أسماء بما في ذلك Arid Viper (يشار إليها أيضًا باسم APT-C-23، و Desert Falcon، وGaza Cyber Gang، وMolerats)، تعمل على الأرجح كمجموعتين فرعيتين مختلفتين. تركز كل مجموعة من هذه المجموعات الفرعية في المقام الأول على القيام بأنشطة التجسس الإلكتروني التي تستهدف إسرائيل أو فلسطين.

عادة ما تنخرط الأفعى القاحلة في ممارسة استهداف الأفراد، بما في ذلك الأفراد البارزين الذين تم اختيارهم مسبقًا من خلفيات فلسطينية وإسرائيلية. كما أنها تستهدف مجموعات أوسع، لا سيما داخل القطاعات الحيوية مثل المنظمات الدفاعية والحكومية، وإنفاذ القانون، فضلاً عن الأحزاب والحركات السياسية.

لتحقيق أهدافها، تستخدم Arid Viper سلاسل هجوم مختلفة. غالبًا ما تبدأ هذه السلاسل بهجمات الهندسة الاجتماعية والتصيد الاحتيالي كطرق اقتحام أولية، مما يمكنها من نشر مجموعة واسعة من البرامج الضارة المخصصة المصممة للتجسس على ضحاياها. تمنح ترسانة البرامج الضارة هذه جهة التهديد مجموعة متنوعة من إمكانيات التجسس، بما في ذلك تسجيل الصوت من خلال الميكروفون، والقدرة على اكتشاف الملفات وإخراجها من محركات الأقراص المحمولة المدرجة، وسرقة بيانات اعتماد المتصفح المحفوظة.