Κακόβουλο λογισμικό υαλοκαθαριστήρα BiBi-Linux

Μια ομάδα χακτιβιστών που υποστηρίζει τη Χαμάς έχει εντοπιστεί χρησιμοποιώντας ένα νέο κακόβουλο λογισμικό υαλοκαθαριστήρων που βασίζεται σε Linux που ονομάζεται BiBi-Linux Wiper. Αυτό το κακόβουλο λογισμικό απευθύνεται ειδικά σε ισραηλινούς οργανισμούς κατά τη διάρκεια της συνεχιζόμενης σύγκρουσης μεταξύ Ισραήλ και Χαμάς.

Ο υαλοκαθαριστήρας BiBi-Linux έχει σχεδιαστεί ως εκτελέσιμο ELF x64 και δεν χρησιμοποιεί σύγχυση ή προστατευτικά μέτρα. Αυτό το κακόβουλο λογισμικό επιτρέπει στους εισβολείς να ορίσουν φακέλους στόχους και, εάν εκτελεστεί με δικαιώματα root, έχει τη δυνατότητα να καταστήσει ένα ολόκληρο λειτουργικό σύστημα μη λειτουργικό.

Άλλες λειτουργίες που ανακαλύφθηκαν στο κακόβουλο λογισμικό BiBi-Linux Wiper

Μεταξύ των διαφόρων δυνατοτήτων του, το κακόβουλο λογισμικό χρησιμοποιεί πολλαπλές νήματα για να καταστρέφει αρχεία ταυτόχρονα, ενισχύοντας έτσι την ταχύτητα και την απήχησή του. Αυτό το επιτυγχάνει αντικαθιστώντας αρχεία και μετονομάζοντάς τα με μια συγκεκριμένη κωδικοποιημένη συμβολοσειρά "BiBi" στη μορφή "[RANDOM_NAME].BiBi[NUMBER]". Επιπλέον, μπορεί να αποκλείσει ορισμένους τύπους αρχείων από το να καταστραφούν.

Αυτό το καταστροφικό κακόβουλο λογισμικό, που αναπτύχθηκε με χρήση C/C++, έχει μέγεθος αρχείου 1,2 MB. Παρέχει στον παράγοντα απειλής τη δυνατότητα να καθορίζει φακέλους-στόχους χρησιμοποιώντας παραμέτρους γραμμής εντολών, με προεπιλεγμένη επιλογή να είναι ο ριζικός κατάλογος ('/') εάν δεν παρέχεται συγκεκριμένη διαδρομή. Ωστόσο, η εκτέλεση ενεργειών σε αυτό το επίπεδο απαιτεί δικαιώματα root.

Συγκεκριμένα, το BiBi-Linux Wiper χρησιμοποιεί την εντολή 'nohup' κατά την εκτέλεση για να διασφαλίσει ότι λειτουργεί ομαλά στο παρασκήνιο. Ορισμένοι τύποι αρχείων εξαιρούνται από την αντικατάσταση, όπως αυτοί με τις επεκτάσεις .out ή .so. Αυτή η εξαίρεση είναι απαραίτητη επειδή η απειλή βασίζεται σε αρχεία όπως τα bibi-linux.out και nohup.out για τη λειτουργία της, εκτός από τις κοινόχρηστες βιβλιοθήκες που είναι ζωτικής σημασίας για το λειτουργικό σύστημα Unix/Linux (αρχεία .so).

Οι χάκερ εστιάζουν τις δραστηριότητές τους σε στόχους υψηλού προφίλ στη Μέση Ανατολή

Οι ερευνητές πιστεύουν ότι ο ύποπτος παράγοντας απειλής που σχετίζεται με τη Χαμάς, γνωστός με πολλά ονόματα, όπως η Arid Viper (αναφέρεται επίσης ως APT-C-23, Desert Falcon, Gaza Cyber Gang και Molerats), πιθανότατα λειτουργεί ως δύο διακριτές υποομάδες. Κάθε μία από αυτές τις υποομάδες επικεντρώνεται κυρίως στη διεξαγωγή δραστηριοτήτων κατασκοπείας στον κυβερνοχώρο με στόχο είτε το Ισραήλ είτε την Παλαιστίνη.

Η Arid Viper συνήθως ασχολείται με την πρακτική της στόχευσης ατόμων, συμπεριλαμβανομένων προεπιλεγμένων ατόμων υψηλού προφίλ τόσο από Παλαιστινιακή όσο και από Ισραηλινή καταγωγή. Στοχεύουν επίσης ευρύτερες ομάδες, ιδιαίτερα σε κρίσιμους τομείς όπως η άμυνα και οι κυβερνητικοί οργανισμοί, οι αρχές επιβολής του νόμου, καθώς και τα πολιτικά κόμματα και κινήματα.

Για να επιτύχει τους στόχους του, το Arid Viper χρησιμοποιεί διάφορες αλυσίδες επίθεσης. Αυτές οι αλυσίδες συχνά ξεκινούν με επιθέσεις κοινωνικής μηχανικής και phishing ως αρχικές μεθόδους εισβολής, επιτρέποντάς τους να αναπτύξουν ένα ευρύ φάσμα προσαρμοσμένων κακόβουλων προγραμμάτων που έχουν σχεδιαστεί για να κατασκοπεύουν τα θύματά τους. Αυτό το οπλοστάσιο κακόβουλου λογισμικού παρέχει στον παράγοντα απειλών ένα ποικίλο σύνολο δυνατοτήτων κατασκοπείας, συμπεριλαμβανομένης της εγγραφής ήχου μέσω του μικροφώνου, της δυνατότητας εντοπισμού και εξαγωγής αρχείων από τοποθετημένες μονάδες flash και κλοπής αποθηκευμένων διαπιστευτηρίων προγράμματος περιήγησης.