Наблюдава се, че хактивистка група, подкрепяща Хамас, използва нов зловреден софтуер, базиран на Linux, наречен BiBi-Linux Wiper, насочен към израелски организации в условията на продължаващата война между Израел и Хамас.

„Този зловреден софтуер е x64 ELF изпълним файл, в който липсват замаскиране или защитни мерки“, се казва в нов доклад на Security Joes, публикуван днес. „Той позволява на атакуващите да посочват целеви папки и потенциално може да унищожи цяла операционна система, ако бъде стартиран с права на root.“

Някои от другите му възможности включват многонишковост за едновременно повреждане на файлове, за да се увеличи скоростта и обхватът му, презаписване на файлове, преименуване с разширение, съдържащо твърдо кодирания низ „BiBi“ (във формат „[RANDOM_NAME].BiBi[NUMBER]“), и изключване на определени типове файлове от повреждане.

„Въпреки че низът „bibi“ (в името на файла), може да изглежда случаен, той има значително значение, когато се смесва с теми като политиката в Близкия изток, тъй като е често използван прякор на израелския министър-председател Бенямин Нетаняху“, добави компанията за киберсигурност.

Разрушителният зловреден софтуер, кодиран на C/C++ и с размер на файла 1,2 MB, позволява на извършителя на заплахата да посочва целеви папки чрез параметри от командния ред, като по подразбиране избира главната директория („/“), ако не е посочен път. Извършването на действието на това ниво обаче изисква права на root.

Друг забележителен аспект на BiBi-Linux Wiper е използването на командата nohup по време на изпълнението, за да може да се изпълнява безпрепятствено във фонов режим. Някои от типовете файлове, които се пропускат да бъдат презаписани, са тези с разширения .out или .so.

„Това е така, защото заплахата разчита на файлове като bibi-linux.out и nohup.out за своята работа, както и на споделени библиотеки, които са от съществено значение за операционната система Unix/Linux (.so файлове)“, заявиха от компанията.

Разработката идва в момент, в който Sekoia разкри, че заподозреният извършител, свързан с Хамас, известен като Arid Viper (известен още като APT-C-23, Desert Falcon, Gaza Cyber Gang и Molerats), вероятно е организиран като две подгрупи, като всеки клъстер е фокусиран върху кибершпионски дейности съответно срещу Израел и Палестина.

„Насочването към отделни лица е обичайна практика на Arid Viper“, заявиха изследователите от SentinelOne Том Хегел и Александър Миленкоски в анализ, публикуван миналата седмица.

„Това включва предварително подбрани палестински и израелски високопоставени цели, както и по-широки групи, обикновено от критични сектори като отбранителни и правителствени организации, правоприлагащи органи и политически партии или движения.“

Веригите за атаки, организирани от групата, включват социално инженерство и фишинг атаки като първоначални вектори за проникване, за да се разгърне голямо разнообразие от персонализиран зловреден софтуер за шпиониране на своите жертви. Той включва Micropsia, PyMicropsia, Arid Gopher и BarbWire, както и нов недокументиран backdoor, наречен Rusty Viper, който е написан на Rust.

„В съвкупност арсеналът на Arid Viper предоставя разнообразни възможности за шпиониране, като например запис на аудио с микрофон, откриване на поставени флаш памети и ексфилтриране на файлове от тях и кражба на запаметени идентификационни данни на браузъра, и това са само някои от тях“, отбеляза ESET по-рано този месец.