Un groupe hacktiviste pro-Hamas a été observé en train d’utiliser un nouveau malware d’effacement basé sur Linux baptisé Essuie-glace BiBi-Linuxciblant des entités israéliennes au milieu de la guerre en cours entre Israël et le Hamas.
« Ce malware est un exécutable ELF x64, dépourvu de mesures d’obscurcissement ou de protection », Security Joes dit dans un nouveau rapport publié aujourd’hui. « Il permet aux attaquants de spécifier des dossiers cibles et peut potentiellement détruire un système d’exploitation entier s’il est exécuté avec les autorisations root. »
Certaines de ses autres capacités incluent multithreading pour corrompre des fichiers simultanément pour améliorer sa vitesse et sa portée, en écrasant les fichiers, en les renommant avec une extension contenant la chaîne codée en dur « BiBi » (au format « [RANDOM_NAME].BiBi[NUMBER] »), et en excluant certains types de fichiers d’être corrompus.
« Bien que la chaîne « bibi » (dans le nom du fichier) puisse paraître aléatoire, elle revêt une signification significative lorsqu’elle est mélangée à des sujets tels que la politique au Moyen-Orient, car il s’agit d’un surnom couramment utilisé pour le Premier ministre israélien Benjamin Netanyahu. » » a ajouté la société de cybersécurité.
Le malware destructeur, codé en C/C++ et portant une taille de fichier de 1,2 Mo, permet à l’acteur malveillant de spécifier les dossiers cibles via des paramètres de ligne de commande, en optant par défaut pour le répertoire racine (« https://thehackernews.com/ » ) si aucun chemin n’est fourni. Cependant, l’exécution de l’action à ce niveau nécessite des autorisations root.
Un autre aspect notable de BiBi-Linux Wiper est son utilisation du commande nohup pendant l’exécution afin de l’exécuter sans entrave en arrière-plan. Certains des types de fichiers qui ne peuvent pas être écrasés sont ceux portant les extensions .out ou .so.
« Cela est dû au fait que la menace s’appuie sur des fichiers tels que bibi-linux.out et nohup.out pour son fonctionnement, ainsi que sur des bibliothèques partagées essentielles au système d’exploitation Unix/Linux (fichiers .so) », a expliqué la société.
Le développement intervient alors que Sekoia révélé que l’acteur menaçant présumé affilié au Hamas, connu sous le nom d’Arid Viper (alias APT-C-23, Desert Falcon, Gaza Cyber Gang et Molerats) est probablement organisé en deux sous-groupes, chaque groupe se concentrant sur les activités de cyberespionnage contre Israël et Palestine, respectivement.
« Cibler des individus est une pratique courante chez Arid Viper », ont déclaré Tom Hegel et Aleksandar Milenkoski, chercheurs de SentinelOne. dit dans une analyse publiée la semaine dernière.
« Cela inclut des cibles palestiniennes et israéliennes présélectionnées ainsi que des groupes plus larges, généralement issus de secteurs critiques tels que les organisations de défense et gouvernementales, les forces de l’ordre et les partis ou mouvements politiques. »
Les chaînes d’attaques orchestrées par le groupe incluent des attaques d’ingénierie sociale et de phishing comme vecteurs d’intrusion initiaux pour déployer une grande variété de logiciels malveillants personnalisés pour espionner ses victimes. Cela comprend Micropsia, PyMicropsia, Arid Gopher et BarbWire, ainsi qu’une nouvelle porte dérobée non documentée appelée Rusty Viper, écrite en Rust.
« Collectivement, l’arsenal d’Arid Viper offre diverses capacités d’espionnage telles que l’enregistrement audio avec le microphone, la détection des lecteurs flash insérés et l’exfiltration de fichiers à partir de ceux-ci, et le vol des informations d’identification enregistrées du navigateur, pour n’en nommer que quelques-unes », ESET noté plus tôt ce mois-ci.