Złośliwe oprogramowanie wycieraczki BiBi-Linux

Grupa haktywistów wspierająca Hamas została zidentyfikowana przy użyciu nowego, opartego na systemie Linux szkodliwego oprogramowania wycierającego o nazwie BiBi-Linux Wiper. Celem tego złośliwego oprogramowania są organizacje izraelskie podczas trwającego konfliktu między Izraelem a Hamasem.

BiBi-Linux Wiper został zaprojektowany jako plik wykonywalny ELF x64 i nie wykorzystuje zaciemniania ani środków ochronnych. To złośliwe oprogramowanie umożliwia atakującym wyznaczenie folderów docelowych, a jeśli zostanie uruchomione z uprawnieniami roota, może spowodować, że cały system operacyjny przestanie działać.

Inne funkcje wykryte w złośliwym oprogramowaniu BiBi-Linux Wiper

Wśród różnych możliwości szkodliwego oprogramowania wykorzystuje się wielowątkowość do jednoczesnego uszkadzania plików, zwiększając w ten sposób jego szybkość i zasięg. Osiąga to poprzez zastąpienie plików i zmianę ich nazwy określonym, zakodowanym na stałe ciągiem „BiBi” w formacie „[RANDOM_NAME].BiBi[NUMBER]”. Dodatkowo może wykluczyć uszkodzenie niektórych typów plików.

To destrukcyjne złośliwe oprogramowanie, opracowane przy użyciu języka C/C++, ma rozmiar pliku 1,2 MB. Daje ugrupowaniu zagrażającemu możliwość określenia folderów docelowych przy użyciu parametrów wiersza poleceń, przy czym domyślnym wyborem jest katalog główny („/”), jeśli nie podano określonej ścieżki. Jednak wykonywanie działań na tym poziomie wymaga uprawnień roota.

Warto zauważyć, że BiBi-Linux Wiper wykorzystuje polecenie „Nohup” podczas wykonywania, aby zapewnić płynne działanie w tle. Niektóre typy plików, na przykład pliki z rozszerzeniami .out lub .so, nie podlegają nadpisywaniu. Ten wyjątek jest niezbędny, ponieważ zagrożenie opiera się w swoim działaniu na plikach takich jak bibi-linux.out i nohup.out, a także na bibliotekach współdzielonych kluczowych dla systemu operacyjnego Unix/Linux (pliki .so).

Hakerzy skupiają swoje działania na ważnych celach na Bliskim Wschodzie

Badacze uważają, że podejrzany ugrupowanie zagrażające powiązane z Hamasem, znane pod kilkoma nazwami, w tym Arid Viper (określany również jako APT-C-23, Desert Falcon, Gaza Cyber Gang i Molerats), prawdopodobnie działa jako dwie odrębne podgrupy. Każda z tych podgrup koncentruje się przede wszystkim na prowadzeniu działań cyberszpiegowskich wymierzonych w Izrael lub Palestynę.

Arid Viper często wykorzystuje praktyki polegające na obieraniu za cel konkretnych osób, w tym wcześniej wybranych znanych osób pochodzących zarówno ze środowisk palestyńskiego, jak i izraelskiego. Są one również skierowane do szerszych grup, szczególnie w sektorach krytycznych, takich jak organizacje obronne i rządowe, organy ścigania, a także partie i ruchy polityczne.

Aby osiągnąć swoje cele, Arid Viper wykorzystuje różne łańcuchy ataków. Łańcuchy te często rozpoczynają się od ataków socjotechnicznych i phishingu jako początkowych metod włamań, co umożliwia im wdrażanie szerokiej gamy niestandardowego złośliwego oprogramowania przeznaczonego do szpiegowania ofiar. Ten arsenał szkodliwego oprogramowania zapewnia ugrupowaniu zagrażającemu różnorodny zestaw możliwości szpiegowskich, w tym nagrywanie dźwięku przez mikrofon, możliwość wykrywania i wydobywania plików z podłączonych dysków flash oraz kradzież zapisanych danych uwierzytelniających przeglądarki.