BiBi-Linux Wiper Malware

Natukoy ang isang hacktivist group na sumusuporta sa Hamas gamit ang isang bagong Linux-based na wiper malware na tinatawag na BiBi-Linux Wiper. Ang nakakahamak na software na ito ay partikular na naglalayong sa mga organisasyong Israeli sa panahon ng patuloy na salungatan sa pagitan ng Israel at Hamas.

Ang BiBi-Linux Wiper ay idinisenyo bilang isang x64 ELF executable at hindi gumagamit ng obfuscation o protective measures. Ang malware na ito ay nagbibigay-daan sa mga umaatake na magtalaga ng mga target na folder at, kung naisakatuparan nang may mga pahintulot sa ugat, ay may potensyal na gawing hindi gumagana ang isang buong operating system.

Iba pang Mga Pag-andar na Natuklasan sa BiBi-Linux Wiper Malware

Kabilang sa iba't ibang mga kakayahan nito, ang malware ay gumagamit ng multithreading upang sirain ang mga file nang sabay-sabay, sa gayon ay pinapahusay ang bilis at abot nito. Nagagawa nito ito sa pamamagitan ng pag-overwrite ng mga file at pagpapalit ng pangalan sa kanila ng isang partikular na hard-coded string na 'BiBi' sa format na '[RANDOM_NAME].BiBi[NUMBER]'. Bukod pa rito, maaari nitong ibukod ang ilang uri ng file mula sa pagkasira.

Ang mapanirang malware na ito, na binuo gamit ang C/C++, ay may sukat ng file na 1.2 MB. Binibigyan nito ang aktor ng pagbabanta ng kakayahang tukuyin ang mga target na folder gamit ang mga parameter ng command-line, na ang default na pagpipilian ay ang root directory ('/') kung walang ibinigay na partikular na landas. Gayunpaman, ang pagsasagawa ng mga aksyon sa antas na ito ay nangangailangan ng mga pahintulot sa ugat.

Kapansin-pansin, ang BiBi-Linux Wiper ay gumagamit ng 'nohup' na utos sa panahon ng pagpapatupad upang matiyak na maayos itong gumagana sa background. Ang ilang uri ng file ay hindi na-o-overwrite, gaya ng mga may extension na .out o .so. Ang pagbubukod na ito ay mahalaga dahil ang banta ay umaasa sa mga file tulad ng bibi-linux.out at nohup.out para sa operasyon nito, bilang karagdagan sa mga shared library na mahalaga para sa Unix/Linux operating system (.so files).

Ang mga Hacker ay Nakatuon sa Kanilang Mga Aktibidad sa Mga High-Profile na Target sa Middle East

Naniniwala ang mga mananaliksik na ang pinaghihinalaang aktor ng pagbabanta na nauugnay sa Hamas, na kilala sa maraming pangalan kabilang ang Arid Viper (tinukoy din bilang APT-C-23, Desert Falcon, Gaza Cyber Gang at Molerats), ay malamang na gumagana bilang dalawang magkaibang sub-grupo. Ang bawat isa sa mga sub-grupong ito ay pangunahing nakatuon sa pagsasagawa ng mga aktibidad sa cyber espionage na nagta-target sa Israel o Palestine.

Ang Arid Viper ay karaniwang nakikibahagi sa pagsasanay ng pag-target ng mga indibidwal, kabilang ang mga napiling high-profile na indibidwal mula sa parehong Palestinian at Israeli background. Target din nila ang mas malawak na mga grupo, partikular sa loob ng mga kritikal na sektor tulad ng mga organisasyon ng depensa at pamahalaan, pagpapatupad ng batas, pati na rin ang mga partido at kilusang pampulitika.

Upang makamit ang mga layunin nito, ang Arid Viper ay gumagamit ng iba't ibang mga chain ng pag-atake. Ang mga chain na ito ay madalas na nagsisimula sa mga pag-atake ng social engineering at phishing bilang mga paunang paraan ng panghihimasok, na nagbibigay-daan sa kanila na mag-deploy ng malawak na hanay ng custom na malware na idinisenyo para sa pag-espiya sa kanilang mga biktima. Ang malware arsenal na ito ay nagbibigay sa banta ng aktor ng magkakaibang hanay ng mga kakayahan sa pag-espiya, kabilang ang pag-record ng audio sa pamamagitan ng mikropono, ang kakayahang mag-detect at mag-exfiltrate ng mga file mula sa mga ipinasok na flash drive, at ang pagnanakaw ng mga naka-save na kredensyal ng browser.