Шкідлива програма BiBi-Linux Wiper

Хактивістська група, яка підтримує ХАМАС, була виявлена за допомогою нового шкідливого програмного забезпечення BiBi-Linux Wiper на базі Linux. Це шкідливе програмне забезпечення спеціально спрямоване проти ізраїльських організацій під час поточного конфлікту між Ізраїлем і ХАМАС.

BiBi-Linux Wiper розроблено як виконуваний файл x64 ELF і не використовує обфускації чи захисних заходів. Це зловмисне програмне забезпечення дозволяє зловмисникам призначати цільові папки, і, якщо його запустити з правами root, може призвести до непрацездатності всієї операційної системи.

Інші функції, виявлені у зловмисному програмному забезпеченні BiBi-Linux Wiper

Серед різноманітних можливостей зловмисне програмне забезпечення використовує багатопотоковість для одночасного пошкодження файлів, тим самим підвищуючи швидкість і охоплення. Він досягає цього, перезаписуючи файли та перейменовуючи їх за допомогою спеціального жорстко закодованого рядка «BiBi» у форматі «[RANDOM_NAME].BiBi[NUMBER]». Крім того, він може виключати певні типи файлів від пошкодження.

Це шкідливе програмне забезпечення, розроблене за допомогою C/C++, має розмір файлу 1,2 МБ. Він надає зловмиснику можливість вказувати цільові папки за допомогою параметрів командного рядка, при цьому за замовчуванням вибирається кореневий каталог ('/'), якщо не вказано конкретний шлях. Однак виконання дій на цьому рівні потребує прав root.

Примітно, що BiBi-Linux Wiper використовує команду «nohup» під час виконання, щоб забезпечити безперебійну роботу у фоновому режимі. Деякі типи файлів не перезаписуються, наприклад файли з розширеннями .out або .so. Цей виняток є важливим, оскільки для роботи загроза використовує такі файли, як bibi-linux.out і nohup.out, а також спільні бібліотеки, важливі для операційної системи Unix/Linux (файли .so).

Хакери зосереджують свою діяльність на відомих цілях на Близькому Сході

Дослідники вважають, що підозрюваний пов’язаний з ХАМАС загрозливий діяч, відомий під кількома іменами, включаючи Arid Viper (також відомий як APT-C-23, Desert Falcon, Gaza Cyber Gang і Molerats), ймовірно, діє як дві окремі підгрупи. Кожна з цих підгруп головним чином зосереджена на проведенні кібершпигунської діяльності проти Ізраїлю чи Палестини.

«Arid Viper» зазвичай бере участь у цілі нападу на окремих осіб, у тому числі на попередньо відібраних високопоставлених осіб як палестинського, так і ізраїльського походження. Вони також націлені на більш широкі групи, особливо в критичних секторах, таких як оборонні та державні організації, правоохоронні органи, а також політичні партії та рухи.

Для досягнення своїх цілей Arid Viper використовує різні ланцюги атак. Ці ланцюжки часто починаються з атак соціальної інженерії та фішингу як початкових методів вторгнення, що дозволяє їм розгортати широкий спектр спеціального шкідливого програмного забезпечення, призначеного для шпигування за своїми жертвами. Цей арсенал зловмисного програмного забезпечення надає зловмиснику різноманітний набір шпигунських можливостей, включаючи запис звуку через мікрофон, можливість виявлення та викрадання файлів із вставлених флеш-накопичувачів, а також крадіжку збережених облікових даних браузера.