بدافزار پاک کن BiBi-Linux

یک گروه هکریست حامی حماس با استفاده از یک بدافزار جدید پاک کن مبتنی بر لینوکس به نام BiBi-Linux Wiper شناسایی شده است. این نرم افزار مخرب به طور خاص سازمان های اسرائیلی را در جریان درگیری بین اسرائیل و حماس هدف قرار داده است.

برف پاک کن BiBi-Linux به عنوان یک x64 ELF اجرایی طراحی شده است و از ابهام یا اقدامات محافظتی استفاده نمی کند. این بدافزار به مهاجمان اجازه می‌دهد تا پوشه‌های هدف را تعیین کنند و اگر با مجوزهای ریشه اجرا شوند، این پتانسیل را دارد که کل سیستم عامل را غیرقابل اجرا کند.

سایر عملکردهای کشف شده در بدافزار پاک کن BiBi-Linux

در میان قابلیت‌های مختلف، این بدافزار از چند رشته‌ای برای خراب کردن فایل‌ها به طور همزمان استفاده می‌کند و در نتیجه سرعت و دسترسی آن را افزایش می‌دهد. این کار را با بازنویسی فایل‌ها و تغییر نام آن‌ها با یک رشته رمزگذاری‌شده خاص «BiBi» در قالب «[RANDOM_NAME].BiBi[NUMBER]» انجام می‌دهد. علاوه بر این، می تواند انواع خاصی از فایل ها را از خراب شدن حذف کند.

این بدافزار مخرب که با استفاده از C/C++ توسعه یافته است، حجم فایل 1.2 مگابایتی دارد. این به عامل تهدید این امکان را می‌دهد که پوشه‌های هدف را با استفاده از پارامترهای خط فرمان مشخص کند، با انتخاب پیش‌فرض دایرکتوری ریشه ('/') اگر مسیر خاصی ارائه نشده باشد. با این حال، انجام اقدامات در این سطح نیاز به مجوزهای ریشه دارد.

قابل ذکر است که BiBi-Linux Wiper از دستور 'nohup' در حین اجرا استفاده می کند تا اطمینان حاصل کند که در پس زمینه به خوبی کار می کند. برخی از انواع فایل‌ها از رونویسی معاف هستند، مانند آنهایی که پسوندهای .out یا .so دارند. این استثنا ضروری است زیرا تهدید به فایل‌هایی مانند bibi-linux.out و nohup.out برای عملکرد خود متکی است، علاوه بر کتابخانه‌های مشترک که برای سیستم‌عامل یونیکس/لینوکس (فایل‌های .so) حیاتی هستند.

هکرها فعالیت های خود را بر روی اهداف با مشخصات بالا در خاورمیانه متمرکز می کنند

محققان بر این باورند که عامل تهدید مظنون وابسته به حماس، که با نام‌های متعددی از جمله افعی خشک (که با نام‌های APT-C-23، شاهین صحرا، باند سایبری غزه و مولرات نیز شناخته می‌شود) شناخته می‌شود، احتمالاً به عنوان دو زیر گروه مجزا عمل می‌کند. هر یک از این زیر گروه‌ها عمدتاً بر انجام فعالیت‌های جاسوسی سایبری با هدف قرار دادن اسرائیل یا فلسطین متمرکز هستند.

افعی خشک معمولاً در تمرین هدف قرار دادن افراد، از جمله افراد از پیش انتخاب شده با سابقه فلسطینی و اسرائیلی، شرکت می کند. آنها همچنین گروه های گسترده تری را، به ویژه در بخش های حیاتی مانند سازمان های دفاعی و دولتی، مجری قانون، و همچنین احزاب و جنبش های سیاسی هدف قرار می دهند.

برای دستیابی به اهداف خود، Arid Viper از زنجیره های حمله مختلفی استفاده می کند. این زنجیره‌ها اغلب با مهندسی اجتماعی و حملات فیشینگ به عنوان روش‌های نفوذ اولیه شروع می‌شوند و آنها را قادر می‌سازد تا طیف گسترده‌ای از بدافزارهای سفارشی را که برای جاسوسی از قربانیان خود طراحی شده‌اند، مستقر کنند. این زرادخانه بدافزار به عامل تهدید مجموعه متنوعی از قابلیت‌های جاسوسی، از جمله ضبط صدا از طریق میکروفون، توانایی شناسایی و استخراج فایل‌ها از درایوهای فلش درج شده، و سرقت اطلاعات کاربری ذخیره‌شده مرورگر، اعطا می‌کند.