BiBi-Linux Wiper Malware

Skupina hacktivistov, ktorá podporuje Hamas, bola identifikovaná pomocou nového stieracieho malvéru na báze Linuxu s názvom BiBi-Linux Wiper. Tento škodlivý softvér je špeciálne zameraný na izraelské organizácie počas prebiehajúceho konfliktu medzi Izraelom a Hamasom.

BiBi-Linux Wiper je navrhnutý ako spustiteľný súbor x64 ELF a nepoužíva zahmlievacie ani ochranné opatrenia. Tento malvér umožňuje útočníkom určiť cieľové priečinky a ak je spustený s oprávneniami root, má potenciál znefunkčniť celý operačný systém.

Ďalšie funkcie objavené v malvéri BiBi-Linux Wiper

Medzi rôznymi schopnosťami malvéru využíva multithreading na súčasné poškodenie súborov, čím zvyšuje jeho rýchlosť a dosah. Dosahuje to prepísaním súborov a ich premenovaním špecifickým pevne zakódovaným reťazcom 'BiBi' vo formáte '[RANDOM_NAME].BiBi[NUMBER]'. Okrem toho môže vylúčiť poškodenie určitých typov súborov.

Tento deštruktívny malvér, vyvinutý pomocou C/C++, má veľkosť súboru 1,2 MB. Poskytuje aktérovi hrozby možnosť špecifikovať cieľové priečinky pomocou parametrov príkazového riadka, pričom predvolená voľba je koreňový adresár ('/'), ak nie je zadaná žiadna konkrétna cesta. Vykonávanie akcií na tejto úrovni si však vyžaduje oprávnenia root.

Predovšetkým BiBi-Linux Wiper využíva počas vykonávania príkaz „nohup“, aby sa zabezpečilo, že bude fungovať hladko na pozadí. Niektoré typy súborov sú vyňaté z povinnosti prepisovať, ako napríklad súbory s príponami .out alebo .so. Táto výnimka je nevyhnutná, pretože hrozba sa pri svojej činnosti spolieha na súbory ako bibi-linux.out a nohup.out, okrem zdieľaných knižníc, ktoré sú kľúčové pre operačný systém Unix/Linux (súbory .so).

Hackeri zameriavajú svoje aktivity na vysokoprofilové ciele na Blízkom východe

Výskumníci sa domnievajú, že podozrivý aktér hrozby spojený s Hamasom, známy pod niekoľkými menami vrátane Arid Viper (tiež označovaný ako APT-C-23, Desert Falcon, Gaza Cyber Gang a Molerats), pravdepodobne pôsobí ako dve odlišné podskupiny. Každá z týchto podskupín sa primárne zameriava na vykonávanie kybernetickej špionáže zameranej na Izrael alebo Palestínu.

Arid Viper sa bežne zapája do praxe zameriavania sa na jednotlivcov, vrátane vopred vybraných vysokoprofilových jedincov z palestínskeho aj izraelského prostredia. Zameriavajú sa aj na širšie skupiny, najmä v kritických sektoroch, ako sú obranné a vládne organizácie, orgány činné v trestnom konaní, ako aj politické strany a hnutia.

Na dosiahnutie svojich cieľov používa Arid Viper rôzne útočné reťazce. Tieto reťazce často začínajú sociálnym inžinierstvom a phishingovými útokmi ako počiatočnými metódami prieniku, čo im umožňuje nasadiť širokú škálu vlastného malvéru určeného na špehovanie ich obetí. Tento malvérový arzenál poskytuje aktérovi hrozby rozmanitú sadu možností špionáže, vrátane nahrávania zvuku cez mikrofón, schopnosti detekovať a extrahovať súbory z vložených flash diskov a krádeže uložených poverení prehliadača.