ممسحة بيبي
تمت ملاحظة متغير جديد من البرنامج الضار BiBi Wiper الذي يستهدف جدول تقسيم القرص، مما يزيد من تعقيد استعادة البيانات ويطيل وقت التوقف عن العمل لضحاياه. تم إرجاع الهجمات باستخدام BiBi Wiper على إسرائيل وألبانيا إلى مجموعة قرصنة إيرانية مشتبه بها تُعرف باسم Void Manticore (Storm-842)، يُعتقد أنها تابعة لوزارة الاستخبارات والأمن الإيرانية (MOIS).
حدد الباحثون لأول مرة BiBi Wiper في أكتوبر 2023، مما دفع فريق CERT الإسرائيلي إلى إصدار تحذير في نوفمبر 2023 بشأن الهجمات الإلكترونية واسعة النطاق ضد المنظمات المهمة في البلاد. كشف تقرير حديث عن إصدارات أحدث من BiBi Wiper إلى جانب ماسحتين مخصصتين أخريين، Cl Wiper وPartition Wiper، اللتين تستخدمهما نفس مجموعة التهديد.
قد يختبئ مجرمو الإنترنت Void Manticore خلف شخصيات مزيفة
ويُشتبه في أن Void Manticore تعمل تحت ستار مجموعة Karma للقرصنة الإلكترونية على Telegram، والتي ظهرت في أعقاب هجوم حماس على إسرائيل في أكتوبر. وقد تحملت شركة Karma مسؤولية الهجمات على أكثر من 40 كيانًا إسرائيليًا، وذلك باستخدام Telegram لعرض البيانات المجمعة أو الأدلة على محركات الأقراص الممسوحة، مما يزيد من تأثير أنشطتها. وشملت العمليات الألبانية شخصية تعرف باسم Homeland Justice، وتم تسريب بعض الملفات المسروقة على Telegram.
يعكس هذا التكتيك بشكل وثيق طريقة عمل Sandworm (APT44)، المعروفة باستخدام قنوات Telegram ذات الطابع الاختراقي مثل XakNet Team وCyberArmyofrussia_Reborn وSolntsepek.
الكشف المثير للاهتمام هو أن Void Manticore يبدو أنه يفوض السيطرة على البنية التحتية المخترقة إلى Scarred Manticore في بعض الحالات. يتخصص Scarred Manticore في إنشاء الوصول الأولي، وغالبًا ما يستغل الثغرات الأمنية مثل عيب Microsoft Sharepoint CVE-2019-0604، وإجراء حركة جانبية للشركات الصغيرة والمتوسطة، وجمع رسائل البريد الإلكتروني. بمجرد التسلل، يتم تمرير هذه المنظمات إلى Void Manticore لحقن الحمولة، والمزيد من الحركة الجانبية داخل الشبكة، ونشر آليات مسح البيانات.
تواصل ممسحة BiBi تطوير قدراتها التدميرية
يستخدم Void Manticore مجموعة من الأدوات لأنشطته التدميرية، بما في ذلك أغطية الويب وأدوات الحذف اليدوية والمساحات المخصصة وأدوات التحقق من بيانات الاعتماد.
تتلاعب أحدث الإصدارات من البرنامج الضار BiBi Wiper بالملفات غير التابعة للنظام عن طريق استبدالها ببيانات عشوائية وإلحاق ملحق تم إنشاؤه عشوائيًا يحتوي على معرف "BiBi". يظهر BiBi في كلا الإصدارين Linux وWindows، ولكل منهما خصائص مميزة وفروق تشغيلية دقيقة.
في بيئات Linux، يبدأ BiBi عدة سلاسل رسائل تتوافق مع مراكز وحدة المعالجة المركزية المتاحة لتسريع عملية المسح. وعلى العكس من ذلك، فإن إصدار Windows من BiBi يستثني ملفات .sys و.exe و.dll لمنع جعل النظام غير قابل للتمهيد.
وعلى النقيض من التكرارات السابقة، تستهدف المتغيرات المحدثة الأنظمة الإسرائيلية حصريًا وتمتنع عن مسح النسخ الاحتياطية أو تعطيل شاشة استرداد الأخطاء في النظام. ومع ذلك، فقد قاموا الآن بإزالة معلومات القسم من القرص، مما يزيد من التحدي المتمثل في استعادة البيانات.
تركز مساحات التقسيم بشكل خاص على جدول أقسام النظام، مما يجعل تخطيط القرص غير قابل للاسترداد. وهذا يعقد الجهود المبذولة لاستعادة البيانات ويزيد من حجم الضرر الناجم. غالبًا ما يواجه الضحايا شاشة الموت الزرقاء (BSOD) أو يتعطل النظام عند إعادة التشغيل، حيث تؤثر هذه الماسحات على كل من أقسام سجل التمهيد الرئيسي (MBR) وجدول تقسيم GUID (GPT).
