BiBi-Linux Wiper Malware

Хактивистка група, подкрепяща Хамас, е идентифицирана с помощта на нов злонамерен софтуер за почистване, базиран на Linux, наречен BiBi-Linux Wiper. Този зловреден софтуер е специално насочен към израелски организации по време на продължаващия конфликт между Израел и Хамас.

BiBi-Linux Wiper е проектиран като x64 ELF изпълним файл и не използва обфускация или защитни мерки. Този злонамерен софтуер позволява на атакуващите да определят целеви папки и, ако се изпълнява с root права, има потенциала да направи цялата операционна система неработеща.

Други функции, открити в зловредния софтуер BiBi-Linux Wiper

Сред различните си възможности, злонамереният софтуер използва многонишковост, за да повреди файловете едновременно, като по този начин повишава своята скорост и обхват. Той постига това, като презаписва файлове и ги преименува със специфичен твърдо кодиран низ „BiBi“ във формат „[RANDOM_NAME].BiBi[NUMBER]“. Освен това може да изключи определени типове файлове от повреждане.

Този разрушителен зловреден софтуер, разработен с помощта на C/C++, има размер на файла от 1,2 MB. Той предоставя на заплахата способността да указва целеви папки с помощта на параметри на командния ред, като изборът по подразбиране е основната директория ('/'), ако не е предоставен конкретен път. Извършването на действия на това ниво обаче изисква root права.

По-специално, BiBi-Linux Wiper използва командата 'nohup' по време на изпълнение, за да гарантира, че работи безпроблемно във фонов режим. Някои типове файлове са освободени от презаписване, като тези с разширения .out или .so. Това изключение е от съществено значение, тъй като заплахата разчита на файлове като bibi-linux.out и nohup.out за своята работа, в допълнение към споделените библиотеки, които са от решаващо значение за операционната система Unix/Linux (.so файлове).

Хакерите съсредоточават дейността си върху високопоставени цели в Близкия изток

Изследователите смятат, че предполагаемият свързан с Хамас заплаха, известен с няколко имена, включително Arid Viper (наричан още APT-C-23, Desert Falcon, Gaza Cyber Gang и Molerats), вероятно действа като две отделни подгрупи. Всяка от тези подгрупи е съсредоточена основно върху провеждането на дейности за кибершпионаж, насочени към Израел или Палестина.

Arid Viper обикновено се занимава с практиката на насочване към лица, включително предварително избрани високопоставени лица от палестински и израелски произход. Те също така са насочени към по-широки групи, особено в критични сектори като отбранителни и правителствени организации, правоприлагане, както и политически партии и движения.

За да постигне целите си, Arid Viper използва различни вериги за атака. Тези вериги често започват със социално инженерство и фишинг атаки като първоначални методи за проникване, което им позволява да разположат широк набор от персонализиран злонамерен софтуер, предназначен за шпиониране на техните жертви. Този арсенал от злонамерен софтуер предоставя на заплахата разнообразен набор от възможности за шпиониране, включително аудио запис през микрофона, възможност за откриване и ексфилтриране на файлове от поставени флаш памети и кражба на запазени идентификационни данни на браузъра.