มัลแวร์ปัดน้ำฝน BiBi-Linux

กลุ่มแฮกเกอร์ที่สนับสนุนกลุ่มฮามาสถูกระบุโดยใช้มัลแวร์ไวเปอร์บน Linux ตัวใหม่ที่เรียกว่า BiBi-Linux Wiper ซอฟต์แวร์ที่เป็นอันตรายนี้มุ่งเป้าไปที่องค์กรของอิสราเอลโดยเฉพาะในช่วงที่เกิดความขัดแย้งระหว่างอิสราเอลและฮามาส

BiBi-Linux Wiper ได้รับการออกแบบให้เป็นไฟล์ปฏิบัติการ x64 ELF และไม่ได้ใช้มาตรการสร้างความสับสนหรือการป้องกัน มัลแวร์นี้ช่วยให้ผู้โจมตีสามารถกำหนดโฟลเดอร์เป้าหมายได้ และหากดำเนินการโดยใช้สิทธิ์รูท ก็อาจทำให้ระบบปฏิบัติการทั้งหมดไม่สามารถใช้งานได้

ฟังก์ชันอื่นๆ ที่พบในมัลแวร์ BiBi-Linux Wiper

ท่ามกลางความสามารถที่หลากหลาย มัลแวร์ใช้มัลติเธรดเพื่อทำให้ไฟล์เสียหายพร้อมกัน ดังนั้นจึงช่วยเพิ่มความเร็วและการเข้าถึง ซึ่งทำได้สำเร็จโดยการเขียนทับไฟล์และเปลี่ยนชื่อด้วยสตริงฮาร์ดโค้ดเฉพาะ 'BiBi' ในรูปแบบ '[RANDOM_NAME].BiBi[NUMBER]' นอกจากนี้ยังสามารถแยกไฟล์บางประเภทไม่ให้เสียหายได้

มัลแวร์ทำลายล้างนี้พัฒนาโดยใช้ C/C++ โดยมีขนาดไฟล์ 1.2 MB โดยให้สิทธิ์แก่ผู้คุกคามสามารถระบุโฟลเดอร์เป้าหมายโดยใช้พารามิเตอร์บรรทัดคำสั่ง โดยตัวเลือกเริ่มต้นจะเป็นไดเร็กทอรีราก ('/') หากไม่มีเส้นทางเฉพาะระบุไว้ อย่างไรก็ตาม การดำเนินการในระดับนี้จำเป็นต้องได้รับสิทธิ์รูท

โดยเฉพาะอย่างยิ่ง BiBi-Linux Wiper ใช้คำสั่ง 'nohup' ในระหว่างการดำเนินการเพื่อให้แน่ใจว่าทำงานได้อย่างราบรื่นในเบื้องหลัง ไฟล์บางประเภทได้รับการยกเว้นไม่ให้เขียนทับ เช่น ไฟล์ที่มีนามสกุล .out หรือ .so ข้อยกเว้นนี้มีความสำคัญเนื่องจากภัยคุกคามอาศัยไฟล์เช่น bibi-linux.out และ nohup.out สำหรับการดำเนินการ นอกเหนือจากไลบรารีที่ใช้ร่วมกันซึ่งมีความสำคัญต่อระบบปฏิบัติการ Unix/Linux (ไฟล์ .so)

แฮกเกอร์มุ่งความสนใจไปที่เป้าหมายระดับสูงในตะวันออกกลาง

นักวิจัยเชื่อว่าผู้ต้องสงสัยเป็นภัยคุกคามในเครือฮามาส ซึ่งเป็นที่รู้จักในชื่อต่างๆ รวมถึง Arid Viper (หรือเรียกอีกอย่างว่า APT-C-23, Desert Falcon, Gaza Cyber Gang และ Molerats) น่าจะดำเนินการเป็นกลุ่มย่อยที่แตกต่างกันสองกลุ่ม แต่ละกลุ่มย่อยเหล่านี้มุ่งเน้นไปที่การดำเนินกิจกรรมจารกรรมทางไซเบอร์โดยกำหนดเป้าหมายไปที่อิสราเอลหรือปาเลสไตน์เป็นหลัก

โดยทั่วไปแล้ว Arid Viper เกี่ยวข้องกับการกำหนดเป้าหมายไปที่บุคคล รวมถึงบุคคลสำคัญที่ได้รับการคัดเลือกล่วงหน้าจากทั้งภูมิหลังชาวปาเลสไตน์และอิสราเอล พวกเขายังกำหนดเป้าหมายกลุ่มที่กว้างขึ้น โดยเฉพาะอย่างยิ่งในภาคส่วนที่สำคัญ เช่น องค์กรด้านการป้องกันและรัฐบาล การบังคับใช้กฎหมาย รวมถึงพรรคการเมืองและการเคลื่อนไหว

เพื่อให้บรรลุวัตถุประสงค์ Arid Viper ใช้การโจมตีแบบต่างๆ เครือข่ายเหล่านี้มักจะเริ่มต้นด้วยวิศวกรรมสังคมและการโจมตีแบบฟิชชิ่งเป็นวิธีการบุกรุกเบื้องต้น ทำให้พวกเขาสามารถปรับใช้มัลแวร์แบบกำหนดเองที่หลากหลายซึ่งออกแบบมาเพื่อสอดแนมเหยื่อของพวกเขา คลังแสงมัลแวร์นี้มอบชุดความสามารถในการสอดแนมที่หลากหลายแก่ผู้คุกคาม ซึ่งรวมถึงการบันทึกเสียงผ่านไมโครโฟน ความสามารถในการตรวจจับและแยกไฟล์ออกจากแฟลชไดรฟ์ที่เสียบไว้ และการขโมยข้อมูลประจำตัวของเบราว์เซอร์ที่บันทึกไว้