BiBi-Linuxi klaasipuhasti pahavara

Aastaks Mezo aastal Malware

Tõlgi:

Hamasi toetav häkkimisrühm on tuvastatud uue Linuxi-põhise klaasipuhasti pahavara BiBi-Linux Wiper abil. See pahatahtlik tarkvara on suunatud konkreetselt Iisraeli organisatsioonidele Iisraeli ja Hamasi vahelise konflikti ajal.

BiBi-Linuxi klaasipuhasti on loodud x64 ELF-käivitusfailina ja see ei kasuta hägustamist ega kaitsemeetmeid. See pahavara võimaldab ründajatel määrata sihtkaustad ja kui seda käivitatakse juurõigustega, võib see muuta kogu operatsioonisüsteemi töövõimetuks.

BiBi-Linuxi klaasipuhasti pahavarast leitud muud funktsioonid

Erinevate võimaluste hulgas kasutab pahavara failide samaaegseks rikkumiseks mitut lõime, suurendades seeläbi selle kiirust ja ulatust. See saavutatakse, kirjutades failid üle ja nimetades need ümber kindla kodeeritud stringiga „BiBi” vormingus „[RANDOM_NAME].BiBi[NUMBER]”. Lisaks võib see välistada teatud failitüüpide kahjustamise.

Selle C/C++ abil välja töötatud hävitava pahavara faili suurus on 1,2 MB. See annab ohutegijale võimaluse määrata sihtkaustad käsurea parameetrite abil, kusjuures vaikevalik on juurkataloog ('/'), kui konkreetset teed pole ette nähtud. Sellel tasemel toimingute tegemiseks on aga vaja juurõigusi.

Eelkõige kasutab BiBi-Linux Wiper täitmise ajal käsku "nohup", et tagada selle tõrgeteta töötamine taustal. Teatud failitüübid on vabastatud ülekirjutamisest, näiteks need, mille laiendid on .out või .so. See erand on oluline, kuna oht tugineb lisaks Unixi/Linuxi operatsioonisüsteemi jaoks ülioluliste jagatud teekide (.so) jaoks failidele nagu bibi-linux.out ja nohup.out.

Häkkerid keskenduvad oma tegevuses kõrgetasemelistele sihtmärkidele Lähis-Idas

Teadlased usuvad, et kahtlustatav Hamasiga seotud ohustaja, keda tuntakse mitme nime all, sealhulgas kuivrästik (nimetatakse ka kui APT-C-23, Desert Falcon, Gaza Cyber Gang ja Molerats), tegutseb tõenäoliselt kahe erineva alarühmana. Kõik need alarühmad keskenduvad peamiselt Iisraeli või Palestiina sihikule suunatud küberspionaažitegevusele.

Kuiv rästik tegeleb tavaliselt üksikisikute, sealhulgas nii Palestiina kui ka Iisraeli taustaga eelvalitud kõrgetasemeliste isikute sihtimisega. Need on suunatud ka laiematele rühmadele, eriti sellistes kriitilistes sektorites nagu kaitse- ja valitsusorganisatsioonid, õiguskaitse, samuti erakonnad ja liikumised.

Oma eesmärkide saavutamiseks kasutab Arid Viper erinevaid rünnakuahelaid. Need ahelad algavad sageli sotsiaalse manipuleerimise ja andmepüügirünnakutega kui esialgsete sissetungimismeetoditega, võimaldades neil juurutada laia valikut kohandatud pahavara, mis on loodud nende ohvrite järele luuramiseks. See pahavaraarsenal annab ohus osalejale mitmekesised nuhkimisvõimalused, sealhulgas helisalvestus läbi mikrofoni, võimalus sisestatud mälupulgadest faile tuvastada ja sealt välja filtreerida ning salvestatud brauseri mandaatide vargus.