Perisian Hasad BiBi-Linux Wiper

Kumpulan hacktivist yang menyokong Hamas telah dikenal pasti menggunakan perisian hasad pengelap berasaskan Linux baharu yang dipanggil BiBi-Linux Wiper. Perisian berniat jahat ini secara khusus ditujukan kepada organisasi Israel semasa konflik berterusan antara Israel dan Hamas.

Wiper BiBi-Linux direka bentuk sebagai x64 ELF boleh laku dan tidak menggunakan langkah-langkah pengeliruan atau perlindungan. Perisian hasad ini membenarkan penyerang untuk menetapkan folder sasaran dan, jika dilaksanakan dengan kebenaran root, mempunyai potensi untuk menyebabkan keseluruhan sistem pengendalian tidak dapat dikendalikan.

Fungsi Lain Ditemui dalam Perisian Hasad BiBi-Linux Wiper

Di antara pelbagai keupayaannya, perisian hasad menggunakan multithreading untuk merosakkan fail secara serentak, dengan itu meningkatkan kelajuan dan jangkauannya. Ia mencapai ini dengan menulis ganti fail dan menamakan semula fail tersebut dengan rentetan berkod keras khusus 'BiBi' dalam format '[RANDOM_NAME].BiBi[NUMBER]'. Selain itu, ia boleh mengecualikan jenis fail tertentu daripada rosak.

Perisian hasad yang merosakkan ini, dibangunkan menggunakan C/C++, mempunyai saiz fail 1.2 MB. Ia memberikan aktor ancaman keupayaan untuk menentukan folder sasaran menggunakan parameter baris arahan, dengan pilihan lalai ialah direktori akar ('/') jika tiada laluan khusus disediakan. Walau bagaimanapun, menjalankan tindakan pada tahap ini memerlukan kebenaran root.

Terutama, BiBi-Linux Wiper menggunakan arahan 'nohup' semasa pelaksanaan untuk memastikan ia beroperasi dengan lancar di latar belakang. Jenis fail tertentu dikecualikan daripada ditulis ganti, seperti yang mempunyai sambungan .out atau .so. Pengecualian ini penting kerana ancaman bergantung pada fail seperti bibi-linux.out dan nohup.out untuk operasinya, selain perpustakaan kongsi yang penting untuk sistem pengendalian Unix/Linux (.so files).

Penggodam Memfokuskan Aktiviti Mereka pada Sasaran Berprofil Tinggi di Timur Tengah

Penyelidik percaya bahawa pelakon ancaman yang disyaki berkaitan Hamas, yang dikenali dengan beberapa nama termasuk Arid Viper (juga dirujuk sebagai APT-C-23, Desert Falcon, Geng Siber Gaza dan Molerat), berkemungkinan beroperasi sebagai dua sub-kumpulan yang berbeza. Setiap sub-kumpulan ini tertumpu terutamanya untuk menjalankan aktiviti pengintipan siber yang menyasarkan sama ada Israel atau Palestin.

Arid Viper biasanya terlibat dalam amalan menyasarkan individu, termasuk individu berprofil tinggi yang telah dipilih daripada latar belakang Palestin dan Israel. Mereka juga menyasarkan kumpulan yang lebih luas, terutamanya dalam sektor kritikal seperti organisasi pertahanan dan kerajaan, penguatkuasaan undang-undang, serta parti dan pergerakan politik.

Untuk mencapai objektifnya, Arid Viper menggunakan pelbagai rantai serangan. Rantaian ini selalunya bermula dengan kejuruteraan sosial dan serangan pancingan data sebagai kaedah pencerobohan awal, membolehkan mereka menggunakan pelbagai perisian hasad tersuai yang direka untuk mengintip mangsa mereka. Senjata perisian hasad ini memberikan pelaku ancaman satu set pelbagai keupayaan mengintip, termasuk rakaman audio melalui mikrofon, keupayaan untuk mengesan dan mengeluarkan fail daripada pemacu kilat yang dimasukkan dan pencurian bukti kelayakan penyemak imbas yang disimpan.