BiBi-Linux Wiper-malware

Een hacktivistische groep die Hamas steunt, is geïdentificeerd met behulp van een nieuwe op Linux gebaseerde wiper-malware genaamd BiBi-Linux Wiper. Deze kwaadaardige software is specifiek gericht op Israëlische organisaties tijdens het voortdurende conflict tussen Israël en Hamas.

De BiBi-Linux Wiper is ontworpen als een x64 ELF-uitvoerbaar bestand en maakt geen gebruik van verduistering of beschermende maatregelen. Deze malware stelt aanvallers in staat doelmappen aan te wijzen en kan, indien uitgevoerd met rootrechten, een volledig besturingssysteem onbruikbaar maken.

Andere functionaliteiten ontdekt in de BiBi-Linux Wiper Malware

Onder de verschillende mogelijkheden maakt de malware gebruik van multithreading om tegelijkertijd bestanden te corrumperen, waardoor de snelheid en het bereik worden vergroot. Dit wordt bereikt door bestanden te overschrijven en ze te hernoemen met een specifieke hardgecodeerde tekenreeks 'BiBi' in de indeling '[RANDOM_NAME].BiBi[NUMBER]'. Bovendien kan het voorkomen dat bepaalde bestandstypen beschadigd raken.

Deze destructieve malware, ontwikkeld met C/C++, heeft een bestandsgrootte van 1,2 MB. Het geeft de bedreigingsactor de mogelijkheid om doelmappen te specificeren met behulp van opdrachtregelparameters, waarbij de standaardkeuze de hoofdmap ('/') is als er geen specifiek pad is opgegeven. Voor het uitvoeren van acties op dit niveau zijn echter root-machtigingen vereist.

Opvallend is dat BiBi-Linux Wiper tijdens de uitvoering het commando 'nohup' gebruikt om ervoor te zorgen dat het soepel op de achtergrond werkt. Bepaalde bestandstypen zijn vrijgesteld van overschrijving, zoals bestanden met de extensie .out of .so. Deze uitzondering is essentieel omdat de dreiging voor zijn werking afhankelijk is van bestanden als bibi-linux.out en nohup.out, naast gedeelde bibliotheken die cruciaal zijn voor het Unix/Linux-besturingssysteem (.so-bestanden).

Hackers concentreren hun activiteiten op spraakmakende doelwitten in het Midden-Oosten

Onderzoekers zijn van mening dat de vermoedelijk aan Hamas gelieerde bedreigingsacteur, bekend onder verschillende namen, waaronder de Arid Viper (ook wel APT-C-23, Desert Falcon, Gaza Cyber Gang en Molerats genoemd), waarschijnlijk als twee afzonderlijke subgroepen opereert. Elk van deze subgroepen is primair gericht op het uitvoeren van cyberspionageactiviteiten gericht op Israël of Palestina.

De Arid Viper houdt zich gewoonlijk bezig met het aanvallen van individuen, waaronder vooraf geselecteerde spraakmakende individuen met zowel een Palestijnse als een Israëlische achtergrond. Ze richten zich ook op bredere groepen, vooral binnen cruciale sectoren zoals defensie en overheidsorganisaties, wetshandhaving, maar ook politieke partijen en bewegingen.

Om zijn doelstellingen te bereiken, gebruikt de Arid Viper verschillende aanvalsketens. Deze ketens beginnen vaak met social engineering- en phishing-aanvallen als initiële inbraakmethoden, waardoor ze een breed scala aan aangepaste malware kunnen inzetten die is ontworpen om hun slachtoffers te bespioneren. Dit malwarearsenaal biedt de bedreigingsactor een gevarieerde reeks spionagemogelijkheden, waaronder audio-opname via de microfoon, de mogelijkheid om bestanden van geplaatste flashdrives te detecteren en te exfiltreren, en de diefstal van opgeslagen browsergegevens.