BiBi-Linux Wiper Malware

A Hamaszt támogató hacktivista csoportot azonosítottak egy új, Linux-alapú ablaktörlő kártevő, a BiBi-Linux Wiper segítségével. Ez a rosszindulatú szoftver kifejezetten izraeli szervezeteket céloz meg az Izrael és a Hamász között zajló konfliktus idején.

A BiBi-Linux Wiper x64 ELF végrehajtható fájlként készült, és nem alkalmaz elhomályosító vagy védelmi intézkedéseket. Ez a rosszindulatú program lehetővé teszi a támadók számára, hogy célmappákat jelöljenek ki, és ha root jogosultsággal hajtják végre, akkor az egész operációs rendszert működésképtelenné teheti.

A BiBi-Linux Wiper kártevőben felfedezett egyéb funkciók

Különböző képességei közül a kártevő többszálú feldolgozást alkalmaz a fájlok egyidejű megrongálására, ezáltal növelve a sebességet és az elérhetőséget. Ezt úgy éri el, hogy felülírja a fájlokat, és átnevezi őket egy speciális, keményen kódolt „BiBi” karakterlánccal a „[RANDOM_NAME].BiBi[NUMBER]” formátumban. Ezenkívül kizárhat bizonyos fájltípusok sérülését.

Ez a pusztító kártevő, amelyet C/C++ használatával fejlesztettek ki, fájlmérete 1,2 MB. Lehetővé teszi a fenyegetés szereplőjének, hogy parancssori paraméterekkel adja meg a célmappákat, és ha nincs megadva konkrét elérési út, az alapértelmezett választás a gyökérkönyvtár ('/'). A műveletek ezen a szinten történő végrehajtásához azonban root jogosultságokra van szükség.

Nevezetesen, a BiBi-Linux Wiper a „nohup” parancsot használja a végrehajtás során, hogy biztosítsa a zavartalan működést a háttérben. Bizonyos fájltípusok mentesülnek a felülírás alól, például az .out vagy .so kiterjesztésűek. Ez a kivétel elengedhetetlen, mert a fenyegetés működéséhez olyan fájlokra támaszkodik, mint a bibi-linux.out és a nohup.out, valamint a Unix/Linux operációs rendszer számára kulcsfontosságú megosztott könyvtárak (.so fájlok).

A hackerek tevékenységüket kiemelt célpontokra összpontosítják a Közel-Keleten

A kutatók úgy vélik, hogy a feltehetően Hamászhoz köthető fenyegetőző, akit több néven is ismernek, köztük a Száraz Viperát (más néven APT-C-23, Desert Falcon, Gaza Cyber Gang és Molerats), valószínűleg két különálló alcsoportként működik. Ezen alcsoportok mindegyike elsősorban Izraelt vagy Palesztinát célzó számítógépes kémtevékenységekre összpontosít.

A Száraz Viper általában olyan egyéneket céloz meg, beleértve az előre kiválasztott, magas rangú személyeket, akik palesztin és izraeli hátterűek. Szélesebb csoportokat is megcéloznak, különösen az olyan kritikus szektorokon belül, mint a védelmi és kormányzati szervezetek, a bűnüldözés, valamint a politikai pártok és mozgalmak.

Céljai elérése érdekében az Arid Viper különféle támadási láncokat alkalmaz. Ezek a láncok gyakran szociális manipulációval és adathalász támadásokkal kezdődnek, mint kezdeti behatolási módszerekkel, lehetővé téve számukra az áldozataik utáni kémkedésre tervezett egyéni rosszindulatú programok széles skáláját. Ez a rosszindulatú program-arzenál a fenyegetést okozó szereplők számára a kémkedési lehetőségek széles skáláját kínálja, beleértve a mikrofonon keresztüli hangrögzítést, a behelyezett flash meghajtók fájlok észlelésének és kiszűrésének lehetőségét, valamint a mentett böngésző hitelesítő adatainak ellopását.