תוכנה זדונית של BiBi-Linux Wiper

קבוצת האקטיביסטית התומכת בחמאס זוהתה באמצעות תוכנת זדונית חדשה המבוססת על לינוקס בשם BiBi-Linux Wiper. תוכנה זדונית זו מכוונת במיוחד לארגונים ישראלים במהלך הסכסוך המתמשך בין ישראל לחמאס.

מגב BiBi-Linux תוכנן כקובץ הפעלה x64 ELF ואינו משתמש באמצעי ערפול או הגנה. תוכנה זדונית זו מאפשרת לתוקפים להגדיר תיקיות יעד, ואם היא מבוצעת עם הרשאות בסיס, יש לה פוטנציאל להפוך מערכת הפעלה שלמה לבלתי פעילה.

פונקציות אחרות שהתגלו בתוכנה זדונית של BiBi-Linux Wiper

בין היכולות השונות שלה, התוכנה הזדונית משתמשת ב-multithreading כדי להשחית קבצים בו-זמנית, ובכך לשפר את המהירות והטווח שלה. הוא משיג זאת על ידי החלפת קבצים ושינוי שמם במחרוזת ספציפית מקודדת 'BiBi' בפורמט של '[RANDOM_NAME].BiBi[NUMBER]'. בנוסף, זה יכול לא לכלול סוגי קבצים מסוימים מהשחתה.

תוכנה זדונית הרסנית זו, שפותחה באמצעות C/C++, היא בעלת גודל קובץ של 1.2 MB. זה מעניק לשחקן האיום את היכולת לציין תיקיות יעד באמצעות פרמטרים של שורת הפקודה, כאשר ברירת המחדל היא ספריית השורש ('/') אם לא מסופק נתיב ספציפי. עם זאת, ביצוע פעולות ברמה זו מחייב הרשאות שורש.

יש לציין, BiBi-Linux Wiper משתמש בפקודה 'nohup' במהלך הביצוע כדי להבטיח שהיא פועלת בצורה חלקה ברקע. סוגי קבצים מסוימים פטורים מהחלפה, כגון אלה עם הסיומות .out או .so. חריג זה חיוני מכיוון שהאיום מסתמך על קבצים כמו bibi-linux.out ו-nohup.out לצורך פעולתו, בנוסף לספריות משותפות החיוניות עבור מערכת ההפעלה Unix/Linux (קבצי.so).

האקרים ממקדים את פעילותם ביעדים בעלי פרופיל גבוה במזרח התיכון

חוקרים מאמינים ששחקן האיום החשוד כמי שמזוהה עם חמאס, הידוע בכמה שמות כולל הצפע הצחיח (המכונה גם APT-C-23, Desert Falcon, Gaza Cyber Gang ו-Molerats), פועל ככל הנראה כשתי תת-קבוצות נפרדות. Each of these sub-groups is primarily focused on conducting cyber espionage activities targeting either Israel or Palestine.

הצפע הצחיח עוסק בדרך כלל בפרקטיקה של הכוונת אנשים, כולל אנשים בעלי פרופיל גבוה שנבחרו מראש מרקע פלסטיני וישראלי כאחד. הם גם מכוונים לקבוצות רחבות יותר, במיוחד במגזרים קריטיים כמו ארגוני ביטחון וממשל, רשויות אכיפת החוק, כמו גם מפלגות ותנועות פוליטיות.

כדי להשיג את מטרותיו, ה-Arid Viper מעסיק רשתות תקיפה שונות. רשתות אלו מתחילות לרוב בהנדסה חברתית והתקפות פישינג כשיטות חדירה ראשוניות, מה שמאפשר להן לפרוס מגוון רחב של תוכנות זדוניות מותאמות אישית המיועדות לריגול אחר הקורבנות שלהן. ארסנל תוכנות זדוניות זה מעניק לשחקן האיומים מערך מגוון של יכולות ריגול, כולל הקלטת אודיו דרך המיקרופון, היכולת לזהות ולחלץ קבצים מכונני הבזק שהוכנסו וגניבה של אישורי דפדפן שמורים.