Phần mềm độc hại Wiper BiBi-Linux

Một nhóm hacktivist ủng hộ Hamas đã được xác định bằng cách sử dụng phần mềm độc hại xóa sạch dựa trên Linux mới có tên BiBi-Linux Wiper. Phần mềm độc hại này đặc biệt nhắm vào các tổ chức của Israel trong cuộc xung đột đang diễn ra giữa Israel và Hamas.

BiBi-Linux Wiper được thiết kế dưới dạng thực thi x64 ELF và không sử dụng các biện pháp che giấu hoặc bảo vệ. Phần mềm độc hại này cho phép kẻ tấn công chỉ định các thư mục đích và nếu được thực thi bằng quyền root, nó có khả năng khiến toàn bộ hệ điều hành không thể hoạt động.

Các chức năng khác được phát hiện trong phần mềm độc hại Wiper BiBi-Linux

Trong số các khả năng khác nhau của nó, phần mềm độc hại sử dụng đồng thời đa luồng để làm hỏng các tệp, do đó nâng cao tốc độ và phạm vi tiếp cận của nó. Nó thực hiện điều này bằng cách ghi đè các tệp và đổi tên chúng bằng một chuỗi mã hóa cứng cụ thể 'BiBi' ở định dạng '[RANDOM_NAME].BiBi[NUMBER]'. Ngoài ra, nó có thể loại trừ một số loại tệp nhất định khỏi bị hỏng.

Phần mềm độc hại có tính phá hoại này, được phát triển bằng C/C++, có kích thước tệp là 1,2 MB. Nó cấp cho tác nhân đe dọa khả năng chỉ định các thư mục đích bằng cách sử dụng các tham số dòng lệnh, với lựa chọn mặc định là thư mục gốc ('/') nếu không có đường dẫn cụ thể nào được cung cấp. Tuy nhiên, việc thực hiện các hành động ở cấp độ này cần có quyền root.

Đáng chú ý, BiBi-Linux Wiper sử dụng lệnh 'Nohup' trong quá trình thực thi để đảm bảo nó hoạt động trơn tru ở chế độ nền. Một số loại tệp nhất định được miễn ghi đè, chẳng hạn như những loại có phần mở rộng .out hoặc .so. Ngoại lệ này rất cần thiết vì mối đe dọa dựa vào các tệp như bibi-linux.out và Nohup.out để hoạt động, ngoài các thư viện dùng chung quan trọng cho hệ điều hành Unix/Linux (tệp .so).

Tin tặc đang tập trung hoạt động vào các mục tiêu nổi bật ở Trung Đông

Các nhà nghiên cứu tin rằng kẻ bị tình nghi là mối đe dọa có liên quan đến Hamas, được biết đến với nhiều cái tên bao gồm Arid Viper (còn được gọi là APT-C-23, Desert Falcon, Gaza Cyber Gang và Molerats), có khả năng hoạt động như hai nhóm nhỏ riêng biệt. Mỗi nhóm nhỏ này chủ yếu tập trung vào việc thực hiện các hoạt động gián điệp mạng nhắm vào Israel hoặc Palestine.

Arid Viper thường tham gia vào hoạt động nhắm mục tiêu vào các cá nhân, bao gồm cả những cá nhân cấp cao được lựa chọn trước từ cả hai nguồn gốc Palestine và Israel. Chúng cũng nhắm mục tiêu vào các nhóm rộng hơn, đặc biệt là trong các lĩnh vực quan trọng như các tổ chức quốc phòng và chính phủ, cơ quan thực thi pháp luật cũng như các đảng phái và phong trào chính trị.

Để đạt được mục tiêu của mình, Arid Viper sử dụng nhiều chuỗi tấn công khác nhau. Các chuỗi này thường bắt đầu bằng các cuộc tấn công lừa đảo và kỹ thuật xã hội làm phương pháp xâm nhập ban đầu, cho phép chúng triển khai nhiều loại phần mềm độc hại tùy chỉnh được thiết kế để theo dõi nạn nhân của chúng. Kho vũ khí phần mềm độc hại này cấp cho kẻ đe dọa một loạt khả năng gián điệp đa dạng, bao gồm ghi âm qua micrô, khả năng phát hiện và lọc các tệp từ ổ đĩa flash được lắp vào cũng như đánh cắp thông tin xác thực trình duyệt đã lưu.