BiBi stierač

Bol pozorovaný nový variant malvéru BiBi Wiper, ktorý sa zameriava na tabuľku rozdelenia disku, čo komplikuje obnovu dát a predlžuje prestoje pre jeho obete. Útoky s použitím BiBi Wiper na Izrael a Albánsko boli vysledované na podozrivú iránsku hackerskú skupinu známu ako Void Manticore (Storm-842), o ktorej sa predpokladá, že je napojená na iránske ministerstvo pre spravodajstvo a bezpečnosť (MOIS).

Výskumníci prvýkrát identifikovali BiBi Wiper v októbri 2023, čo viedlo izraelský CERT k varovaniu v novembri 2023 o rozsiahlych kybernetických útokoch proti kritickým organizáciám v krajine. Nedávna správa odhalila novšie verzie BiBi Wiper spolu s ďalšími dvoma vlastnými stieračmi, Cl Wiper a Partition Wiper, ktoré používa rovnaká skupina hrozieb.

Kyberzločinci Void Manticore sa môžu skrývať za falošnými osobnosťami

Existuje podozrenie, že Void Manticore funguje pod zámienkou skupiny Karma hacktivism na Telegrame, ktorá sa objavila po útoku Hamasu na Izrael v októbri. Karma prevzala zodpovednosť za útoky na viac ako 40 izraelských subjektov pomocou telegramu na predvedenie zozbieraných údajov alebo dôkazov o vymazaných diskoch, čím sa zosilnil vplyv ich aktivít. Albánske operácie sa týkali osobnosti známej ako Homeland Justice a niektoré z ukradnutých súborov unikli cez Telegram.

Táto taktika presne odzrkadľuje modus operandi Sandworm (APT44), ktorý je známy využívaním kanálov telegramov s hacktivistickou tematikou, ako sú XakNet Team, CyberArmyofRussia_Reborn a Solntsepek.

Zaujímavým odhalením je, že sa zdá, že Void Manticore v určitých prípadoch deleguje kontrolu nad narušenou infraštruktúrou na Scarred Manticore. Scarred Manticore sa špecializuje na vytvorenie počiatočného prístupu, pričom často využíva slabé miesta, ako je chyba Microsoft Sharepoint CVE-2019-0604, vykonáva laterálny pohyb SMB a zbiera e-maily. Po infiltrácii sú tieto organizácie odovzdané do Void Manticore na injekciu užitočného zaťaženia, ďalší laterálny pohyb v rámci siete a nasadenie mechanizmov na vymazanie údajov.

Stierač BiBi pokračuje vo vývoji svojich deštruktívnych schopností

Void Manticore využíva pre svoje deštruktívne aktivity celý rad nástrojov, vrátane webových shellov, nástrojov na manuálne odstraňovanie, vlastných stieračov a nástrojov na overovanie poverení.

Najnovšie verzie škodlivého softvéru BiBi Wiper narušujú nesystémové súbory ich nahradením náhodnými údajmi a pridaním náhodne vygenerovaného rozšírenia obsahujúceho identifikátor „BiBi“. BiBi sa prejavuje vo variantoch Linux aj Windows, pričom každý má odlišné vlastnosti a prevádzkové nuansy.

V prostrediach Linux BiBi iniciuje viacero vlákien zodpovedajúcich dostupným jadrám CPU, aby urýchlil proces vymazania. Verzia BiBi pre Windows naopak vylučuje súbory .sys, .exe a .dll, aby sa zabránilo nespusteniu systému.

Na rozdiel od predchádzajúcich iterácií sa aktualizované varianty zameriavajú výlučne na izraelské systémy a vyhýbajú sa vymazaniu tieňových kópií alebo vypnutiu obrazovky obnovy chýb systému. Teraz však eliminujú informácie o diskových oddieloch z disku, čím sa zvyšuje náročnosť obnovy dát.

Stierače oddielov sa zameriavajú špecificky na tabuľku oddielov systému, vďaka čomu je rozloženie disku nenávratné. To komplikuje snahy o obnovu údajov a zväčšuje rozsah spôsobených škôd. Obete sa po reštarte často stretávajú s modrou obrazovkou smrti (BSOD) alebo zlyhaním systému, pretože tieto stierače ovplyvňujú oddiely Master Boot Record (MBR) aj GUID Partition Table (GPT).