Malware fshirëse BiBi-Linux

Një grup hakktivist që mbështet Hamasin është identifikuar duke përdorur një malware të ri fshirës të bazuar në Linux të quajtur BiBi-Linux Wiper. Ky softuer me qëllim të keq synon veçanërisht organizatat izraelite gjatë konfliktit të vazhdueshëm midis Izraelit dhe Hamasit.

Fshirësi BiBi-Linux është projektuar si një x64 ELF i ekzekutueshëm dhe nuk përdor turbullim ose masa mbrojtëse. Ky malware i lejon sulmuesit të përcaktojnë dosjet e synuara dhe, nëse ekzekutohet me leje rrënjësore, ka potencialin të bëjë të gjithë sistemin operativ të pafuqishëm.

Funksionalitete të tjera të zbuluara në malware të fshirësit BiBi-Linux

Ndër aftësitë e tij të ndryshme, malware përdor multithreading për të korruptuar skedarët në të njëjtën kohë, duke rritur kështu shpejtësinë dhe shtrirjen e tij. Ai e realizon këtë duke i mbishkruar skedarët dhe duke i riemërtuar me një varg specifik të koduar "BiBi" në formatin "[RANDOM_NAME].BiBi[NUMBER]". Për më tepër, mund të përjashtojë lloje të caktuara skedarësh nga korruptimi.

Ky malware shkatërrues, i zhvilluar duke përdorur C/C++, ka një madhësi skedari prej 1.2 MB. Ai i jep aktorit të kërcënimit aftësinë për të specifikuar dosjet e synuara duke përdorur parametrat e linjës së komandës, me zgjedhjen e paracaktuar që është direktoria rrënjësore ('/') nëse nuk ofrohet një shteg specifik. Megjithatë, kryerja e veprimeve në këtë nivel kërkon leje rrënjësore.

Veçanërisht, BiBi-Linux Wiper përdor komandën 'nohup' gjatë ekzekutimit për të siguruar që funksionon pa probleme në sfond. Disa lloje skedarësh përjashtohen nga mbishkrimi, si ato me shtesat .out ose .so. Ky përjashtim është thelbësor sepse kërcënimi mbështetet në skedarë si bibi-linux.out dhe nohup.out për funksionimin e tij, përveç bibliotekave të përbashkëta thelbësore për sistemin operativ Unix/Linux (skedarët so).

Hakerët po fokusojnë aktivitetet e tyre në objektiva të profilit të lartë në Lindjen e Mesme

Studiuesit besojnë se aktori i dyshuar i kërcënimit i lidhur me Hamasin, i njohur me disa emra, duke përfshirë Viperin Arid (i referuar edhe si APT-C-23, Desert Falcon, Gaza Cyber Gang dhe Molerats), ka të ngjarë të funksionojë si dy nëngrupe të dallueshme. Secili prej këtyre nëngrupeve është i fokusuar kryesisht në kryerjen e aktiviteteve të spiunazhit kibernetik që synojnë Izraelin ose Palestinën.

Viper i Arid zakonisht angazhohet në praktikën e shënjestrimin e individëve, duke përfshirë individë të profilit të lartë të përzgjedhur paraprakisht nga prejardhja palestineze dhe izraelite. Ato synojnë gjithashtu grupe më të gjera, veçanërisht brenda sektorëve kritikë si mbrojtja dhe organizatat qeveritare, zbatimi i ligjit, si dhe partitë dhe lëvizjet politike.

Për të arritur objektivat e tij, Arid Viper përdor zinxhirë të ndryshëm sulmi. Këto zinxhirë shpesh fillojnë me sulmet e inxhinierisë sociale dhe phishing si metoda fillestare të ndërhyrjes, duke u mundësuar atyre të vendosin një gamë të gjerë malware të personalizuar të krijuar për spiunimin e viktimave të tyre. Ky arsenal malware i jep aktorit të kërcënimit një grup të larmishëm aftësish spiunimi, duke përfshirë regjistrimin e audios përmes mikrofonit, aftësinë për të zbuluar dhe fshirë skedarët nga disqet flash të futur dhe vjedhjen e kredencialeve të ruajtura të shfletuesit.