هدفگیری نهادهای اسرائیلی با بدافزار وایپر توسط هکتیویستهای حامی حماس
اخبار داغ فناوری اطلاعات و امنیت شبکه
طبق مشاهدات، یک گروه هکتیویست طرفدار حماس، از یک بدافزار جدید وایپر مبتنی بر لینوکس به نام BiBi-Linux Wiper استفاده میکند تا نهادهای اسرائیلی را در بحبوحه جنگ جاری اسرائیل و حماس هدف قرار دهد.
سکیوریتی جوز در گزارش جدیدی که امروز منتشر شد، گفت: "این بدافزار یک x64 ELF قابل اجرا بوده و فاقد هرگونه ابهام یا اقدامات حفاظتی است. این امر، به مهاجمان اجازه میدهد تا فولدرهای هدف را مشخص کنند و اگر با مجوزهای روت اجرا شود، میتواند کل سیستم عامل را به طور بالقوه نابود کند".
برخی از قابلیتهای دیگر آن شامل تهدید چندگانه برای خراب کردن فایلها به طور همزمان برای افزایش سرعت و دسترسی، بازنویسی فایلها، تغییر نام آنها با پسوندی حاوی استرینگ رمزگذاریشده «BiBi» (در قالب «[RANDOM_NAME].BiBi[NUMBER]») است. و همچنین انواع خاصی از فایلها را نیز تغیر نداده یا حذف نمیکند.
این شرکا امنیت سایبری افزود: "در حالی که رشته نام «بی بی» (در نام فایل)، ممکن است تصادفی به نظر برسد، زمانی که با موضوعاتی مانند سیاست در خاورمیانه مخلوط شود، معنای قابل توجهی دارد، زیرا این نام مستعار رایج برای بنیامین نتانیاهو، نخستوزیر اسرائیل است".
بدافزار مخرب، کدنویسی شده با C/C++ و حجم فایل 1.2 مگابایتی، به عامل تهدید اجازه میدهد تا پوشههای هدف را از طریق پارامترهای خط فرمان (command line) مشخص کند و بهطور پیشفرض اگر مسیری ارائه نشود، دایرکتوری روت ("/") را انتخاب کند. بااینحال، انجام عمل در این سطح نیاز به مجوزهای دسترسی روت دارد.
یکی دیگر از جنبههای قابل توجه BiBi-Linux Wiper استفاده از دستور nohup در حین اجرا است تا بدون مانع در پسزمینه اجرا شود. برخی از انواع فایلهایی که بازنویسی نمیشوند، آنهایی هستند که پسوندهای .out یا .so دارند.
این شرکت میگوید: "این مسئله، به این دلیل است که بدافزار به فایلهایی مانند bibi-linux.out و nohup.out برای عملکرد خود، همراه با لایبرریهای مشترک ضروری برای سیستمعامل یونیکس/لینوکس (فایلهای.so) وابسته است".
این توسعه در حالی صورت میگیرد که مجموعه سکویا فاش کرد که عامل تهدید مظنون وابسته به حماس معروف به Arid Viper (با نام مستعار APT-C-23، Desert Falcon، Gaza Cyber Gang و Molerats) احتمالا بهعنوان دو گروه فرعی سازماندهی شده است که هر گروه بر روی فعالیتهای جاسوسی سایبری به ترتیب علیه اسرائیل و فلسطین متمرکز است.
تام هگل و الکساندر میلنکوسکی، محققین SentinelOne، در تحلیلی که هفته گذشته منتشر شد، گفتند: "هدف قرار دادن افراد، یک روش معمول Arid Viper است".
آنها افزودند: "این موارد شامل اهداف از پیش تعیین شده فلسطینی و اسرائیلی و همچنین گروههای گستردهتر، معمولا از بخشهای حیاتی مانند سازمانهای دفاعی و دولتی، سازمانهای مجری قانون و احزاب یا جنبشهای سیاسی میشود".
زنجیرههای حمله سازماندهیشده توسط این گروه شامل مهندسی اجتماعی و حملات فیشینگ بهعنوان مسیرهای نفوذ اولیه برای استقرار طیف گستردهای از بدافزارهای سفارشی برای جاسوسی از قربانیان است. این موارد شامل Micropsia، PyMicropsia، Arid Gopher، و BarbWire و یک backdoor ناشناخته جدید به نام Rusty Viper است که در Rust نوشته شده است.
مجموعه ESET در اوایل این ماه خاطرنشان کرد: "در مجموع، تسلیحات سایبری Arid Viper قابلیتهای جاسوسی متنوعی مانند ضبط صدا با میکروفون، شناسایی درایوهای فلش ورودی و استخراج فایلها از آنها، و سرقت اطلاعات کاربری ذخیرهشده مرورگر را فراهم میکند".
برچسب ها: Rusty Viper, Arid Gopher, Micropsia, PyMicropsia, Gaza Cyber Gang, Desert Falcon, nohup, بی بی, BiBi, BiBi-Linux Wiper, غزه, بنیامین نتانیاهو, Arid Viper, Hamas, BarbWire, حماس, Palestine, فلسطین, Molerats, Gaza, Cyber Warfare, Unix, یونیکس, Linux, لینوکس, israel, malware, اسرائیل, Cyber Security, جاسوسی سایبری, backdoor, بدافزار, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news