Logiciel malveillant d'essuie-glace BiBi-Linux

Un groupe d'hacktivistes soutenant le Hamas a été identifié à l'aide d'un nouveau malware d'effacement basé sur Linux appelé BiBi-Linux Wiper. Ce logiciel malveillant est spécifiquement destiné aux organisations israéliennes pendant le conflit en cours entre Israël et le Hamas.

Le BiBi-Linux Wiper est conçu comme un exécutable ELF x64 et n'utilise pas d'obfuscation ou de mesures de protection. Ce malware permet aux attaquants de désigner des dossiers cibles et, s'il est exécuté avec les autorisations root, il peut potentiellement rendre inutilisable un système d'exploitation entier.

Autres fonctionnalités découvertes dans le logiciel malveillant BiBi-Linux Wiper

Parmi ses diverses capacités, le malware utilise le multithreading pour corrompre les fichiers simultanément, améliorant ainsi sa vitesse et sa portée. Il y parvient en écrasant les fichiers et en les renommant avec une chaîne spécifique codée en dur « BiBi » au format « [RANDOM_NAME].BiBi[NUMBER] ». De plus, il peut empêcher la corruption de certains types de fichiers.

Ce malware destructeur, développé en C/C++, a une taille de fichier de 1,2 Mo. Il donne à l'acteur malveillant la possibilité de spécifier les dossiers cibles à l'aide de paramètres de ligne de commande, le choix par défaut étant le répertoire racine (« / ») si aucun chemin spécifique n'est fourni. Cependant, réaliser des actions à ce niveau nécessite des autorisations root.

Notamment, BiBi-Linux Wiper utilise la commande « nohup » pendant l'exécution pour garantir un fonctionnement fluide en arrière-plan. Certains types de fichiers sont exemptés d'écrasement, comme ceux portant les extensions .out ou .so. Cette exception est essentielle car la menace s'appuie sur des fichiers comme bibi-linux.out et nohup.out pour son fonctionnement, en plus de bibliothèques partagées cruciales pour le système d'exploitation Unix/Linux (fichiers .so).

Les pirates informatiques concentrent leurs activités sur des cibles de premier plan au Moyen-Orient

Les chercheurs pensent que l’acteur menaçant présumé affilié au Hamas, connu sous plusieurs noms, dont Arid Viper (également appelé APT-C-23, Desert Falcon, Gaza Cyber Gang et Molerats), opère probablement comme deux sous-groupes distincts. Chacun de ces sous-groupes se concentre principalement sur la conduite d’activités de cyberespionnage ciblant soit Israël, soit la Palestine.

L’Arid Viper s’engage généralement dans la pratique consistant à cibler des individus, y compris des personnalités présélectionnées de haut niveau issues à la fois d’origines palestinienne et israélienne. Ils ciblent également des groupes plus larges, en particulier au sein de secteurs critiques tels que les organisations de défense et gouvernementales, les forces de l’ordre, ainsi que les partis et mouvements politiques.

Pour atteindre ses objectifs, l'Arid Viper utilise diverses chaînes d'attaque. Ces chaînes commencent souvent par des attaques d’ingénierie sociale et de phishing comme méthodes d’intrusion initiales, leur permettant de déployer une large gamme de logiciels malveillants personnalisés conçus pour espionner leurs victimes. Cet arsenal de logiciels malveillants offre à l'acteur malveillant un ensemble diversifié de capacités d'espionnage, notamment l'enregistrement audio via le microphone, la possibilité de détecter et d'exfiltrer des fichiers à partir de lecteurs flash insérés et le vol des informations d'identification enregistrées du navigateur.