មេរោគ BiBi-Linux Wiper

ក្រុម hacktivist ដែលគាំទ្រក្រុម Hamas ត្រូវបានគេកំណត់អត្តសញ្ញាណដោយប្រើមេរោគ wiper ដែលមានមូលដ្ឋានលើលីនុចថ្មីមួយដែលមានឈ្មោះថា BiBi-Linux Wiper ។ កម្មវិធីព្យាបាទនេះមានគោលបំណងជាពិសេសទៅលើអង្គការអ៊ីស្រាអែលក្នុងអំឡុងពេលជម្លោះដែលកំពុងបន្តរវាងអ៊ីស្រាអែល និងក្រុមហាម៉ាស។

BiBi-Linux Wiper ត្រូវបានរចនាឡើងជា x64 ELF ដែលអាចប្រតិបត្តិបាន ហើយមិនប្រើការបំភាន់ ឬវិធានការការពារទេ។ មេរោគនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារកំណត់ថតគោលដៅ ហើយប្រសិនបើត្រូវបានប្រតិបត្តិដោយមានការអនុញ្ញាតជា root មានសក្តានុពលក្នុងការធ្វើឱ្យប្រព័ន្ធប្រតិបត្តិការទាំងមូលមិនអាចដំណើរការបាន។

មុខងារផ្សេងទៀតដែលបានរកឃើញនៅក្នុង BiBi-Linux Wiper Malware

ក្នុង​ចំណោម​សមត្ថភាព​ផ្សេងៗ​របស់​វា មេរោគ​នេះ​ប្រើ​ការ​ប្រើ​ multithreading ដើម្បី​បំផ្លាញ​ឯកសារ​ក្នុង​ពេល​ដំណាល​គ្នា ដោយ​ហេតុ​នេះ​វា​ជួយ​បង្កើន​ល្បឿន​និង​ការ​ឈាន​ទៅ​ដល់។ វាសម្រេចវាដោយការសរសេរជាន់លើឯកសារ និងប្តូរឈ្មោះពួកវាដោយប្រើខ្សែអក្សររឹងជាក់លាក់ 'BiBi' ក្នុងទម្រង់ '[RANDOM_NAME].BiBi[NUMBER]'។ លើសពីនេះ វាអាចមិនរាប់បញ្ចូលប្រភេទឯកសារមួយចំនួនពីការខូច។

មេរោគបំផ្លិចបំផ្លាញនេះ បង្កើតឡើងដោយប្រើប្រាស់ C/C++ មានទំហំឯកសារ 1.2 MB។ វាផ្តល់ឱ្យតួអង្គគំរាមកំហែងនូវសមត្ថភាពក្នុងការបញ្ជាក់ថតគោលដៅដោយប្រើប៉ារ៉ាម៉ែត្របន្ទាត់ពាក្យបញ្ជា ដោយជម្រើសលំនាំដើមគឺជាថតឫស ('/') ប្រសិនបើគ្មានផ្លូវជាក់លាក់ណាមួយត្រូវបានផ្តល់។ ទោះជាយ៉ាងណាក៏ដោយ ការអនុវត្តសកម្មភាពនៅកម្រិតនេះ ត្រូវការការអនុញ្ញាតជា root ។

គួរកត់សម្គាល់ថា BiBi-Linux Wiper ប្រើពាក្យបញ្ជា 'nohup' កំឡុងពេលប្រតិបត្តិ ដើម្បីធានាថាវាដំណើរការយ៉ាងរលូនក្នុងផ្ទៃខាងក្រោយ។ ប្រភេទឯកសារមួយចំនួនត្រូវបានលើកលែងពីការសរសេរជាន់លើ ដូចជាឯកសារដែលមានផ្នែកបន្ថែម .out ឬ .so ។ ការលើកលែងនេះគឺចាំបាច់ពីព្រោះការគំរាមកំហែងពឹងផ្អែកលើឯកសារដូចជា bibi-linux.out និង nohup.out សម្រាប់ប្រតិបត្តិការរបស់វា បន្ថែមពីលើបណ្ណាល័យចែករំលែកមានសារៈសំខាន់សម្រាប់ប្រព័ន្ធប្រតិបត្តិការ Unix/Linux (.so files)។

ពួក Hacker កំពុងផ្តោតលើសកម្មភាពរបស់ពួកគេលើគោលដៅដែលមានទម្រង់ខ្ពស់នៅមជ្ឈិមបូព៌ា

ក្រុមអ្នកស្រាវជ្រាវជឿថា តួអង្គគំរាមកំហែងដែលមានទំនាក់ទំនងនឹងក្រុមហាម៉ាស ដែលត្រូវបានគេស្គាល់ដោយឈ្មោះជាច្រើនរួមមាន Arid Viper (ហៅផងដែរថា APT-C-23, Desert Falcon, Gaza Cyber Gang និង Molerats) ទំនងជាដំណើរការជាក្រុមរងពីរផ្សេងគ្នា។ ក្រុមរងទាំងនេះនីមួយៗផ្តោតជាចម្បងលើការធ្វើសកម្មភាពចារកម្មតាមអ៊ីនធឺណេត សំដៅលើអ៊ីស្រាអែល ឬប៉ាឡេស្ទីន។

Arid Viper ជាទូទៅចូលរួមក្នុងការអនុវត្តកំណត់គោលដៅបុគ្គល រួមទាំងបុគ្គលដែលមានឋានៈខ្ពស់ដែលបានជ្រើសរើសជាមុនពីមជ្ឈដ្ឋានប៉ាឡេស្ទីន និងអ៊ីស្រាអែល។ ពួកគេក៏កំណត់គោលដៅលើក្រុមទូលំទូលាយផងដែរ ជាពិសេសនៅក្នុងវិស័យសំខាន់ៗដូចជា វិស័យការពារជាតិ និងអង្គការរដ្ឋាភិបាល ការអនុវត្តច្បាប់ ក៏ដូចជាគណបក្សនយោបាយ និងចលនា។

ដើម្បីសម្រេចបាននូវគោលបំណងរបស់វា Arid Viper ប្រើខ្សែសង្វាក់វាយប្រហារផ្សេងៗ។ ខ្សែសង្វាក់ទាំងនេះជារឿយៗចាប់ផ្តើមជាមួយនឹងវិស្វកម្មសង្គម និងការវាយប្រហារដោយបន្លំជាវិធីសាស្ត្រនៃការឈ្លានពានដំបូង ដែលអនុញ្ញាតឱ្យពួកគេដាក់ពង្រាយមេរោគផ្ទាល់ខ្លួនជាច្រើនដែលត្រូវបានរចនាឡើងសម្រាប់ចារកម្មលើជនរងគ្រោះរបស់ពួកគេ។ ឃ្លាំងផ្ទុកមេរោគនេះផ្តល់ឱ្យតួអង្គគំរាមកំហែងនូវសមត្ថភាពចារកម្មចម្រុះ រួមទាំងការថតសំឡេងតាមរយៈមីក្រូហ្វូន សមត្ថភាពក្នុងការស្វែងរក និងបណ្តេញឯកសារចេញពីដ្រាយវ៍ពន្លឺដែលបានបញ្ចូល និងការលួចទិន្នន័យកម្មវិធីរុករកតាមអ៊ីនធឺណិតដែលបានរក្សាទុក។