BiBi klaasipuhasti

Täheldatud on BiBi Wiperi pahavara uut varianti, mis sihib ketta partitsioonitabelit, raskendab andmete taastamist ja pikendab selle ohvrite seisakuid. BiBi Wiperit kasutanud rünnakud Iisraeli ja Albaania vastu on leitud kahtlustatava Iraani häkkimisrühma nime all Void Manticore (Storm-842), mis arvatakse olevat seotud Iraani luure- ja julgeolekuministeeriumiga (MOIS).

Teadlased tuvastasid BiBi Wiperi esmakordselt 2023. aasta oktoobris, mille tõttu andis Iisraeli CERT 2023. aasta novembris hoiatuse ulatuslike küberrünnakute kohta riigi kriitiliste organisatsioonide vastu. Hiljutine aruanne on paljastanud BiBi klaasipuhasti uuemad versioonid koos kahe teise kohandatud klaasipuhastiga, Cl Wiper ja Partition Wiper, mida kasutab sama ohurühm.

Tühised Manticore'i küberkurjategijad võivad peituda võltspersoonide taha

Arvatakse, et Void Manticore tegutseb Telegramis Hamasi oktoobris Iisraeli vastu suunatud rünnaku järel tekkinud karma hacktivismi rühmituse varjus. Karma on võtnud vastutuse enam kui 40 Iisraeli üksuse vastu suunatud rünnakute eest, kasutades Telegrami kogutud andmete või tõendite esitlemiseks kustutatud draividest, võimendades nende tegevuse mõju. Albaania operatsioonides osales isik, keda tuntakse Homeland Justice nime all, ja mõned varjatud failid lekitati Telegrami.

See taktika peegeldab täpselt Sandwormi (APT44) tööpõhimõtet, mis on tuntud häkkivateemaliste telegrammikanalite, nagu XakNet Team, CyberArmyofRussia_Reborn ja Solntsepek, kasutamise poolest.

Intrigeeriv ilmutus on see, et Void Manticore näib teatud juhtudel delegeerivat kontrolli kahjustatud infrastruktuuri üle Scarred Manticore'ile. Scarred Manticore on spetsialiseerunud esialgse juurdepääsu loomisele, kasutades sageli turvaauke, nagu Microsoft Sharepoint CVE-2019-0604 viga, teostades SMB külgliikumist ja kogudes e-kirju. Pärast sissetungimist edastatakse need organisatsioonid Void Manticore'ile kasuliku koormuse süstimiseks, edasiseks külgsuunaliseks liikumiseks võrgus ja andmete kustutamise mehhanismide kasutuselevõtuks.

BiBi klaasipuhasti arendab jätkuvalt oma hävitavat võimet

Void Manticore kasutab oma hävitavate tegevuste jaoks mitmesuguseid tööriistu, sealhulgas veebikestad, käsitsi kustutamise tööriistad, kohandatud klaasipuhastid ja mandaadi kontrollimise tööriistad.

BiBi Wiperi pahavara uusimad iteratsioonid rikuvad süsteemiväliseid faile, asendades need juhuslike andmetega ja lisades juhuslikult loodud laienduse, mis sisaldab identifikaatorit „BiBi”. BiBi avaldub nii Linuxi kui ka Windowsi variantides, millest igaühel on erinevad omadused ja töönüansid.

Linuxi keskkondades käivitab BiBi mitu lõime, mis vastavad saadaolevatele CPU tuumadele, et kiirendada pühkimisprotsessi. Vastupidi, BiBi Windowsi versioon välistab .sys-, .exe- ja .dll-failid, et vältida süsteemi muutmist buutimatuks.

Erinevalt eelmistest iteratsioonidest sihivad värskendatud variandid eranditult Iisraeli süsteeme ja hoiduvad varikoopiate kustutamisest ega süsteemi Error Recovery ekraani keelamisest. Kuid nüüd eemaldavad nad kettalt partitsiooniteabe, mis suurendab andmete taastamise väljakutset.

Partition Wipers keskendub konkreetselt süsteemi partitsioonitabelile, muutes ketta paigutuse pöördumatuks. See raskendab jõupingutusi andmete taastamiseks ja suurendab tekitatud kahju ulatust. Ohvrid kogevad taaskäivitamisel sageli surmasinist ekraani (BSOD) või süsteemi krahhi, kuna need klaasipuhastid mõjutavad nii põhikäivituskirje (MBR) kui ka GUID partitsioonitabeli (GPT) sektsioone.