Zlonamerna programska oprema BiBi-Linux Wiper

Haktivistična skupina, ki podpira Hamas, je bila identificirana z uporabo nove zlonamerne programske opreme za brisanje, ki temelji na Linuxu, imenovane BiBi-Linux Wiper. Ta zlonamerna programska oprema je posebej namenjena izraelskim organizacijam med trajajočim konfliktom med Izraelom in Hamasom.

Brisalec BiBi-Linux je zasnovan kot izvršljiva datoteka x64 ELF in ne uporablja zamegljevanja ali zaščitnih ukrepov. Ta zlonamerna programska oprema omogoča napadalcem, da določijo ciljne mape in, če se izvede s korenskimi dovoljenji, lahko povzroči nedelovanje celotnega operacijskega sistema.

Druge funkcije, odkrite v zlonamerni programski opremi BiBi-Linux Wiper

Med svojimi različnimi zmogljivostmi zlonamerna programska oprema uporablja večnitnost za istočasno poškodovanje datotek, s čimer poveča svojo hitrost in doseg. To doseže tako, da prepiše datoteke in jih preimenuje s posebnim trdo kodiranim nizom 'BiBi' v obliki '[NAKLJUČNO_IME].BiBi[ŠTEVILO]'. Poleg tega lahko nekatere vrste datotek prepreči, da bi bile poškodovane.

Ta uničujoča zlonamerna programska oprema, razvita s C/C++, ima velikost datoteke 1,2 MB. Akterju grožnje daje možnost, da določi ciljne mape s parametri ukazne vrstice, pri čemer je privzeta izbira korenski imenik ('/'), če ni podane nobene posebne poti. Vendar pa so za izvajanje dejanj na tej ravni potrebna korenska dovoljenja.

Predvsem BiBi-Linux Wiper uporablja ukaz 'nohup' med izvajanjem, da zagotovi nemoteno delovanje v ozadju. Določene vrste datotek so izvzete iz prepisovanja, na primer tiste s končnico .out ali .so. Ta izjema je bistvena, ker se grožnja za svoje delovanje zanaša na datoteke, kot sta bibi-linux.out in nohup.out, poleg deljenih knjižnic, ki so ključne za operacijski sistem Unix/Linux (datoteke .so).

Hekerji svoje dejavnosti osredotočajo na odmevne tarče na Bližnjem vzhodu

Raziskovalci verjamejo, da domnevni akter grožnje, povezan s Hamasom, znan pod več imeni, vključno z Arid Viper (imenovan tudi APT-C-23, Desert Falcon, Gaza Cyber Gang in Molerats), verjetno deluje kot dve različni podskupini. Vsaka od teh podskupin je v prvi vrsti osredotočena na kibernetsko vohunjenje, usmerjeno proti Izraelu ali Palestini.

Arid Viper se običajno ukvarja s prakso ciljanja na posameznike, vključno z vnaprej izbranimi visoko profiliranimi posamezniki iz palestinskega in izraelskega porekla. Usmerjeni so tudi na širše skupine, zlasti v kritičnih sektorjih, kot so obrambne in vladne organizacije, kazenski pregon ter politične stranke in gibanja.

Za dosego svojih ciljev Arid Viper uporablja različne napadalne verige. Te verige se pogosto začnejo z napadi družbenega inženiringa in lažnega predstavljanja kot začetnimi metodami vdora, kar jim omogoča uvedbo širokega nabora zlonamerne programske opreme po meri, namenjene vohunjenju za njihovimi žrtvami. Ta arzenal zlonamerne programske opreme akterju grožnje omogoča raznolik nabor vohunskih zmogljivosti, vključno z zvočnim snemanjem prek mikrofona, zmožnostjo zaznavanja in izločanja datotek iz vstavljenih bliskovnih pogonov ter krajo shranjenih poverilnic brskalnika.