BiBi-Linux Wiper-Malware

Es wurde festgestellt, dass eine Hacktivistengruppe, die die Hamas unterstützt, eine neue Linux-basierte Wiper-Malware namens BiBi-Linux Wiper verwendet. Diese Schadsoftware richtet sich speziell gegen israelische Organisationen während des andauernden Konflikts zwischen Israel und der Hamas.

Der BiBi-Linux Wiper ist als ausführbare x64-ELF-Datei konzipiert und verwendet keine Verschleierungs- oder Schutzmaßnahmen. Diese Malware ermöglicht es Angreifern, Zielordner festzulegen, und kann, wenn sie mit Root-Berechtigungen ausgeführt wird, das gesamte Betriebssystem funktionsunfähig machen.

Weitere in der BiBi-Linux Wiper-Malware entdeckte Funktionen

Zu den verschiedenen Fähigkeiten der Malware gehört Multithreading, um Dateien gleichzeitig zu beschädigen und so ihre Geschwindigkeit und Reichweite zu erhöhen. Dies wird erreicht, indem Dateien überschrieben und mit einer bestimmten fest codierten Zeichenfolge „BiBi“ im Format „[RANDOM_NAME].BiBi[NUMBER]“ umbenannt werden. Darüber hinaus können bestimmte Dateitypen von der Beschädigung ausgeschlossen werden.

Diese mit C/C++ entwickelte zerstörerische Malware hat eine Dateigröße von 1,2 MB. Es gibt dem Bedrohungsakteur die Möglichkeit, Zielordner mithilfe von Befehlszeilenparametern anzugeben, wobei die Standardauswahl das Stammverzeichnis ('/') ist, wenn kein spezifischer Pfad angegeben wird. Für die Ausführung von Aktionen auf dieser Ebene sind jedoch Root-Rechte erforderlich.

Insbesondere verwendet BiBi-Linux Wiper während der Ausführung den Befehl „nohup“, um sicherzustellen, dass es reibungslos im Hintergrund funktioniert. Bestimmte Dateitypen sind vom Überschreiben ausgenommen, beispielsweise solche mit den Erweiterungen .out oder .so. Diese Ausnahme ist wichtig, da die Bedrohung für ihren Betrieb auf Dateien wie bibi-linux.out und nohup.out sowie auf gemeinsam genutzte Bibliotheken angewiesen ist, die für das Unix/Linux-Betriebssystem wichtig sind (.so-Dateien).

Hacker konzentrieren ihre Aktivitäten auf hochkarätige Ziele im Nahen Osten

Forscher gehen davon aus, dass der mutmaßliche Hamas-nahe Bedrohungsakteur, der unter mehreren Namen bekannt ist, darunter Arid Viper (auch bekannt als APT-C-23, Desert Falcon, Gaza Cyber Gang und Molerats), wahrscheinlich in zwei unterschiedlichen Untergruppen operiert. Jede dieser Untergruppen konzentriert sich in erster Linie auf die Durchführung von Cyberspionageaktivitäten, die entweder auf Israel oder Palästina abzielen.

Die Arid Viper greift häufig auf einzelne Personen zu, darunter ausgewählte hochkarätige Personen mit palästinensischem und israelischem Hintergrund. Sie richten sich auch an breitere Gruppen, insbesondere in kritischen Sektoren wie Verteidigungs- und Regierungsorganisationen, Strafverfolgungsbehörden sowie politischen Parteien und Bewegungen.

Um ihre Ziele zu erreichen, nutzt die Arid Viper verschiedene Angriffsketten. Diese Ketten beginnen oft mit Social-Engineering- und Phishing-Angriffen als ersten Einbruchsmethoden und ermöglichen ihnen so den Einsatz einer breiten Palette maßgeschneiderter Malware, die darauf ausgelegt ist, ihre Opfer auszuspionieren. Dieses Malware-Arsenal bietet dem Bedrohungsakteur vielfältige Spionagefunktionen, darunter die Audioaufzeichnung über das Mikrofon, die Möglichkeit, Dateien von eingesteckten Flash-Laufwerken zu erkennen und zu exfiltrieren sowie den Diebstahl gespeicherter Browser-Anmeldeinformationen.