BiBi-Linux Wiper Malware

Un grup hacktivist care susține Hamas a fost identificat folosind un nou program malware bazat pe Linux, numit BiBi-Linux Wiper. Acest software rău intenționat este destinat în mod special organizațiilor israeliene în timpul conflictului în curs dintre Israel și Hamas.

BiBi-Linux Wiper este proiectat ca un executabil ELF x64 și nu folosește măsuri de ofuscare sau de protecție. Acest malware permite atacatorilor să desemneze foldere țintă și, dacă este executat cu permisiuni root, are potențialul de a face un întreg sistem de operare inoperabil.

Alte funcționalități descoperite în programul malware BiBi-Linux Wiper

Printre diferitele sale capabilități, malware-ul folosește multithreading pentru a corupe fișierele simultan, sporindu-și astfel viteza și acoperirea. Acesta realizează acest lucru prin suprascrierea fișierelor și redenumirea acestora cu un anumit șir de caractere hard-coded „BiBi” în formatul „[RANDOM_NAME].BiBi[NUMBER]”. În plus, poate exclude anumite tipuri de fișiere de la deteriorarea.

Acest malware distructiv, dezvoltat folosind C/C++, are o dimensiune a fișierului de 1,2 MB. Oferă actorului amenințării capacitatea de a specifica folderele țintă folosind parametrii de linie de comandă, alegerea implicită fiind directorul rădăcină ('/') dacă nu este furnizată nicio cale specifică. Cu toate acestea, efectuarea de acțiuni la acest nivel necesită permisiuni root.

În special, BiBi-Linux Wiper folosește comanda „nohup” în timpul execuției pentru a se asigura că funcționează fără probleme în fundal. Anumite tipuri de fișiere sunt scutite de a fi suprascrise, cum ar fi cele cu extensiile .out sau .so. Această excepție este esențială deoarece amenințarea se bazează pe fișiere precum bibi-linux.out și nohup.out pentru funcționarea sa, pe lângă bibliotecile partajate cruciale pentru sistemul de operare Unix/Linux (fișiere .so).

Hackerii își concentrează activitățile asupra țintelor de profil înalt din Orientul Mijlociu

Cercetătorii cred că presupusul actor de amenințare afiliat Hamas, cunoscut sub mai multe nume, inclusiv Arid Viper (numit și APT-C-23, Desert Falcon, Gaza Cyber Gang și Molerats), funcționează probabil ca două subgrupuri distincte. Fiecare dintre aceste subgrupuri se concentrează în primul rând pe desfășurarea de activități de spionaj cibernetic care vizează fie Israelul, fie Palestina.

Arid Viper se angajează în mod obișnuit în practica de a viza indivizi, inclusiv persoane pre-selectate de profil înalt din mediul palestinian și israelian. Acestea vizează, de asemenea, grupuri mai largi, în special în sectoarele critice, cum ar fi organizațiile guvernamentale și apărării, forțele de ordine, precum și partidele și mișcările politice.

Pentru a-și atinge obiectivele, Arid Viper folosește diverse lanțuri de atac. Aceste lanțuri încep adesea cu atacuri de inginerie socială și phishing ca metode inițiale de intruziune, permițându-le să implementeze o gamă largă de programe malware personalizate concepute pentru a-și spiona victimele. Acest arsenal de programe malware oferă actorului amenințării un set divers de capabilități de spionaj, inclusiv înregistrarea audio prin microfon, capacitatea de a detecta și de a exfiltra fișiere din unitățile flash introduse și furtul acreditărilor salvate de browser.