BiBi-Linux Wiper -haittaohjelma

Vuonna Mezo vuonna Malware

Käännä:

Hamasia tukeva hacktivistiryhmä on tunnistettu käyttämällä uutta Linux-pohjaista BiBi-Linux Wiper -haittaohjelmaa. Tämä haittaohjelmisto on suunnattu erityisesti israelilaisille järjestöille Israelin ja Hamasin välillä meneillään olevan konfliktin aikana.

BiBi-Linux Wiper on suunniteltu x64 ELF-suoritettavaksi ohjelmaksi, eikä se käytä hämärtämistä tai suojatoimenpiteitä. Tämän haittaohjelman avulla hyökkääjät voivat määrittää kohdekansioita, ja jos se suoritetaan pääkäyttäjän oikeuksin, se voi tehdä koko käyttöjärjestelmän toimintakyvyttömäksi.

Muita BiBi-Linux Wiper -haittaohjelmasta löydettyjä toimintoja

Eri ominaisuuksiensa joukossa haittaohjelma käyttää monisäikeistystä tiedostojen korruptoimiseksi samanaikaisesti, mikä parantaa sen nopeutta ja kattavuutta. Se saavuttaa tämän kirjoittamalla tiedostot päälle ja nimeämällä ne uudelleen tietyllä kovakoodatulla merkkijonolla "BiBi" muodossa "[RANDOM_NAME].BiBi[NUMBER]". Lisäksi se voi sulkea pois tietyt tiedostotyypit vioittumasta.

Tämän tuhoavan haittaohjelman, joka on kehitetty C/C++:lla, tiedostokoko on 1,2 Mt. Se antaa uhkatoimijalle mahdollisuuden määrittää kohdekansiot komentoriviparametreilla. Oletusvalinta on juurihakemisto ('/'), jos erityistä polkua ei ole annettu. Toimintojen suorittaminen tällä tasolla edellyttää kuitenkin pääkäyttäjän oikeuksia.

Erityisesti BiBi-Linux Wiper käyttää "nohup"-komentoa suorituksen aikana varmistaakseen, että se toimii sujuvasti taustalla. Tietyt tiedostotyypit, kuten tiedostot, joiden tunniste on .out tai .so, on vapautettu päällekirjoittamisesta. Tämä poikkeus on olennainen, koska uhka käyttää toiminnassaan tiedostoja, kuten bibi-linux.out ja nohup.out, Unix/Linux-käyttöjärjestelmän kannalta ratkaisevien jaettujen kirjastojen (.so-tiedostojen) lisäksi.

Hakkerit keskittävät toimintansa korkean profiilin kohteisiin Lähi-idässä

Tutkijat uskovat, että epäilty Hamasiin liittyvä uhkatekijä, joka tunnetaan useilla nimillä, mukaan lukien Arid Viper (kutsutaan myös nimellä APT-C-23, Desert Falcon, Gaza Cyber Gang ja Molerats), toimii todennäköisesti kahtena erillisenä alaryhmänä. Jokainen näistä alaryhmistä keskittyy ensisijaisesti kybervakoilutoimintaan, joka kohdistuu joko Israeliin tai Palestiinaan.

Arid Viper yleensä harjoittaa kohdistamista yksilöihin, mukaan lukien ennalta valitut korkean profiilin henkilöt sekä palestiinalais- että israelitaustaisista. Ne kohdistuvat myös laajempiin ryhmiin, erityisesti kriittisillä sektoreilla, kuten puolustus- ja hallitusjärjestöillä, lainvalvontaviranomaisilla sekä poliittisilla puolueilla ja liikkeillä.

Tavoitteidensa saavuttamiseksi Arid Viper käyttää erilaisia hyökkäysketjuja. Nämä ketjut alkavat usein sosiaalisen manipuloinnin ja tietojenkalasteluhyökkäyksillä ensimmäisinä tunkeutumismenetelminä, jolloin ne voivat ottaa käyttöön laajan valikoiman mukautettuja haittaohjelmia, jotka on suunniteltu uhrien vakoilemiseen. Tämä haittaohjelmaarsenaali tarjoaa uhkatekijälle monipuoliset vakoiluominaisuudet, mukaan lukien äänen tallentamisen mikrofonin kautta, mahdollisuuden havaita ja suodattaa tiedostoja laitteissa olevilta flash-asemilta sekä tallennettujen selaimen tunnistetietojen varkautta.