Pro-Hamas-Hacktivisten zielen mit Wiper-Malware auf israelische Einrichtungen
Eine Pro-Hamas-Hacktivistengruppe wurde dabei beobachtet, wie sie eine neue linuxbasierte Wiper-Malware mit dem Namen BiBi-Linux Wiper einsetzt. Inmitten des laufenden Krieges zwischen Israel und der Hamas nimmt die Schadsoftware israelische Einrichtungen ins Visier.
Ein Bericht des Unternehmens Security Joes stellt fest, dass die Malware eine ausführbare x64-ELF-Datei ohne Verschleierung oder Schutzmaßnahmen ist. Sie ermöglicht Angreifern, Zielordner auszumachen und kann potenziell ein gesamtes Betriebssystem zerstören, wenn sie mit Root-Rechten ausgeführt wird.
Weitere Funktionen der Malware umfassen die Verwendung von Multithreading, um Dateien gleichzeitig zu beschädigen und dadurch ihre Geschwindigkeit und Reichweite zu erhöhen. Sie kann Dateien überschreiben und umbenennen, wobei die Dateierweiterung die fest codierte Zeichenfolge „BiBi“ im Format „[ZUFÄLLIGER_NAME].BiBi[ZAHL]“ enthält. Darüber hinaus gibt es die Möglichkeit, bestimmte Dateitypen von der Beschädigung auszuschließen.
„Die Zeichenfolge ‚bibi‘ (im Dateinamen) mag zufällig erscheinen, sie hat jedoch eine große Bedeutung, wenn sie mit Themen wie der Politik im Nahen Osten in Verbindung gebracht wird. Das Kürzel ist tatsächlich ein gebräuchlicher Spitzname für den israelischen Premierminister Benjamin Netanjahu“, fügte das Cybersicherheitsunternehmen hinzu.
Die zerstörerische Malware, die in C/C++ programmiert ist und eine Dateigröße von 1,2 MB hat, erlaubt dem Angreifer, Zielordner mithilfe von Befehlszeilenparametern anzugeben. Standardmäßig wählt sie das Stammverzeichnis („/“), wenn kein Pfad angegeben wird. Allerdings sind Root-Rechte erforderlich, um Aktionen auf dieser Ebene auszuführen.
Ein weiterer bemerkenswerter Aspekt von BiBi-Linux Wiper ist die Verwendung des nohup-Befehls während der Ausführung. So kann die Malware ungehindert und ohne Unterbrechung im Hintergrund laufen. Einige der Dateitypen, die nicht überschrieben werden, sind solche mit den Erweiterungen .out oder .so. „Das liegt daran, dass die Bedrohung auf Dateien wie bibi-linux.out und nohup.out sowie auf gemeinsam genutzte Bibliotheken angewiesen ist, die für das Unix/Linux-Betriebssystem unerlässlich sind (.so-Dateien)“, so das Unternehmen.
Die Entwicklung kommt zu dem Zeitpunkt, an dem Sekoia enthüllt, dass der mutmaßliche, mit der Hamas verbundene Bedrohungsakteur, der als Arid Viper (auch bekannt als APT-C-23, Desert Falcon, Gaza Cyber Gang und Molerats) bekannt ist, wahrscheinlich in zwei Untergruppen organisiert ist. SentinelOne-Forscher haben in einer kürzlich veröffentlichten Analyse darauf hingewiesen, dass Arid Viper häufig Einzelpersonen ins Visier nimmt. Dies schließt vorausgewählte hochrangige palästinensische und israelische Ziele sowie breitere Gruppen ein, die oft aus kritischen Sektoren wie Verteidigung und Regierungseinrichtungen, Strafverfolgungsbehörden, politischen Parteien oder Bewegungen stammen.
Die Angriffsmethoden der Gruppe umfassen Social-Engineering- und Phishing-Angriffe als erste Angriffspunkte, um eine Vielzahl maßgeschneiderter Malware zu installieren, die zum Ausspionieren der Opfer verwendet wird. Dazu gehören Malware-Programme wie Micropsia, PyMicropsia, Arid Gopher und BarbWire, sowie eine neue, nicht dokumentierte Backdoor namens Rusty Viper, die in der Programmiersprache Rust verfasst ist.
In einem Resümee von ESET heißt es: „Zusammengenommen bietet das Arsenal von Arid Viper vielfältige Spionagefähigkeiten, wie zum Beispiel das Aufzeichnen von Audiosignalen mit dem Mikrofon, das Erkennen von eingesteckten Flash-Laufwerken und Exfiltrieren von Dateien von diesen sowie das Stehlen von gespeicherten Browser-Anmeldeinformationen, um nur einige zu nennen“.