Zlonamjerni softver BiBi-Linux Wiper

Haktivistička skupina koja podržava Hamas identificirana je pomoću novog zlonamjernog softvera brisača temeljenog na Linuxu pod nazivom BiBi-Linux Wiper. Ovaj zlonamjerni softver posebno je usmjeren na izraelske organizacije tijekom sukoba između Izraela i Hamasa koji je u tijeku.

BiBi-Linux Wiper dizajniran je kao x64 ELF izvršna datoteka i ne koristi maskiranje ili zaštitne mjere. Ovaj zlonamjerni softver omogućuje napadačima da odrede ciljne mape i, ako se izvrši s root dopuštenjima, ima potencijal učiniti cijeli operativni sustav neoperativnim.

Ostale funkcije otkrivene u zlonamjernom softveru BiBi-Linux Wiper

Među svojim različitim mogućnostima, zlonamjerni softver koristi multithreading za istovremeno oštećenje datoteka, čime se povećava njegova brzina i doseg. To postiže prepisivanjem datoteka i njihovim preimenovanjem s određenim tvrdo kodiranim nizom 'BiBi' u formatu '[RANDOM_NAME].BiBi[BROJ]'. Osim toga, može isključiti određene vrste datoteka od oštećenja.

Ovaj destruktivni malware, razvijen korištenjem C/C++, ima veličinu datoteke od 1,2 MB. Akteru prijetnje daje mogućnost da odredi ciljne mape pomoću parametara naredbenog retka, pri čemu je zadani izbor korijenski direktorij ('/') ako nije navedena specifična staza. Međutim, izvođenje radnji na ovoj razini zahtijeva root dozvole.

Naime, BiBi-Linux Wiper koristi naredbu 'nohup' tijekom izvođenja kako bi osigurao nesmetan rad u pozadini. Određene vrste datoteka izuzete su od prepisivanja, poput onih s ekstenzijama .out ili .so. Ova je iznimka bitna jer se prijetnja oslanja na datoteke poput bibi-linux.out i nohup.out za svoj rad, uz zajedničke knjižnice ključne za Unix/Linux operativni sustav (.so datoteke).

Hakeri usmjeravaju svoje aktivnosti na mete visokog profila na Bliskom istoku

Istraživači vjeruju da osumnjičeni akter prijetnje povezan s Hamasom, poznat pod nekoliko imena uključujući Arid Viper (koji se također naziva APT-C-23, Desert Falcon, Gaza Cyber Gang i Molerats), vjerojatno djeluje kao dvije različite podskupine. Svaka od ovih podskupina primarno je usredotočena na provođenje aktivnosti cyber špijunaže usmjerenih na Izrael ili Palestinu.

Arid Viper obično se bavi praksom ciljanja pojedinaca, uključujući unaprijed odabrane visokoprofilne pojedince palestinskog i izraelskog podrijetla. Oni također ciljaju na šire skupine, posebno unutar kritičnih sektora kao što su obrambene i vladine organizacije, provedba zakona, kao i političke stranke i pokreti.

Kako bi postigao svoje ciljeve, Arid Viper koristi različite lance napada. Ti lanci često započinju napadima društvenog inženjeringa i krađe identiteta kao početnim metodama upada, što im omogućuje uvođenje širokog spektra prilagođenog zlonamjernog softvera dizajniranog za špijuniranje njihovih žrtava. Ovaj arsenal zlonamjernog softvera akteru prijetnje daje raznovrstan skup mogućnosti špijuniranja, uključujući snimanje zvuka putem mikrofona, mogućnost otkrivanja i eksfiltracije datoteka s umetnutih flash diskova i krađu spremljenih vjerodajnica preglednika.