กลุ่ม Hacktivist ที่สนับสนุน Hamas ถูกสังเกตเห็นว่าใช้ Malware Wiper บนระบบปฏิบัติการ Linux ใหม่ที่เรียกว่า BiBi-Linux Wiper เพื่อเป้าหมายที่เป็นหน่วยงานในอิสราเอล ในระหว่างสงครามระหว่างอิสราเอลกับ Hamas ที่กำลังเกิดขึ้น มัลแวร์ตัวนี้เป็นไฟล์ประเภท x64 ELF ที่ขาดการจัดการหรือมาตรการป้องกันที่ ซึ่งจะช่วยให้ผู้ไม่ประสงค์ดีสามารถระบุโฟลเดอร์เป้าหมายที่อาจทำลายระบบปฏิบัติการทั้งหมดหากทำงานโดยใช้สิทธิ์ root
ความสามารถอื่นๆ บางอย่าง ได้แก่ multithreading ไปยังไฟล์ที่เสียหายพร้อมกันเพื่อเพิ่มความเร็ว
และการเข้าถึง เขียนทับไฟล์ เปลี่ยนชื่อไฟล์ด้วยส่วนขยายที่มี hard-coded string “BiBi” (ในรูปแบบ “[RANDOM_NAME].BiBi[NUMBER]”) และยกเว้นไฟล์บางประเภทเพื่อไม่ให้ไฟล์บางประเภทเสียหาย
แม้ว่า string ‘ BiBi’ (ในชื่อไฟล์) อาจดูเหมือนสุ่ม แต่มันมีความหมายที่สำคัญเมื่อผสมกับหัวข้อ เช่น การเมืองในตะวันออกกลาง เนื่องจากเป็นชื่อเล่นทั่วไปที่ใช้เรียกนายกรัฐมนตรีอิสราเอล คือ Benjamin Netanyahu
มัลแวร์ทำลายข้อมูลซึ่งเข้ารหัสด้วยภาษา C/C++ และมีขนาดไฟล์ 1.2 MB ช่วยให้ผู้ไม่ประสงค์ดีสามารถระบุโฟลเดอร์เป้าหมายผ่าน command-line parameters โดยค่าเริ่มต้นจะเลือก root directory (“/”) หากไม่มี path ระบุไว้ อย่างไรก็ตาม การดำเนินการในระดับนี้จำเป็นต้องได้รับสิทธิ์ root ก่อน
ลักษณะเด่นอีกอย่างหนึ่งของ BiBi-Linux Wiper คือการใช้ command nohup ในระหว่าง
การดำเนินการเพื่อที่จะรันโดยไม่ให้ถูกขัดในเบื้องหลัง บางประเภทของไฟล์ที่ไม่ถูกเขียนทับคือไฟล์ที่มีนามสกุล .out หรือ .so
ทั้งนี้เนื่องจากการดำเนินงานของผู้ไม่ประสงค์ดีขึ้นอยู่กับไฟล์เช่น BiBi-linux.out และ nohup.out เช่นเดียวกับไลบรารีที่ใช้ร่วมกัน ที่จำเป็นสำหรับระบบปฏิบัติการ Unix / Linux (ไฟล์ .so)
การพัฒนาดังกล่าวเกิดขึ้นเมื่อ Sekoia เปิดเผยว่าผู้ต้องสงสัยเป็นภัยคุกคามในเครือฮามาสที่รู้จักกันในชื่อ Arid Viper (aka APT-C-23, Desert Falcon, Gaza Cyber Gang และ Molerats) มีแนวโน้มที่จะจัดเป็นสองกลุ่มย่อย โดยแต่ละคลัสเตอร์มุ่งเน้นไปที่ กิจกรรมจารกรรมทางไซเบอร์ต่ออิสราเอลและปาเลสไตน์ ตามลำดับ
ซึ่งรวมถึงเป้าหมายระดับสูงของชาวปาเลสไตน์และอิสราเอลที่เลือกไว้ล่วงหน้า ตลอดจนกลุ่มที่กว้างขึ้น
ซึ่งโดยทั่วไปมาจากภาคส่วนที่สำคัญ เช่น องค์กรด้านการป้องกันและของรัฐบาล การบังคับใช้กฎหมาย และพรรคการเมืองหรือการเคลื่อนไหว
กลุ่มการโจมตีที่จัดทำโดยกลุ่มนี้ประกอบด้วยการโจมตีทาง social engineering และ phishing attacks โดยการโจมตีเบื้องต้นเพื่อปรับใช้มัลแวร์แบบกำหนดเองที่หลากหลายเพื่อสอดแนมเป้าหมาย ซึ่งประกอบด้วย Micropsia, PyMicropsia, Arid Gopher และ BarbWire และ new undocumented backdoor called Rusty Viper ซึ่งเขียนด้วยภาษา Rust
โดยรวมแล้ว อาวุธของ Arid Viper มีความสามารถในการสอดส่องที่หลากหลาย เช่น การบันทึกเสียงด้วยไมโครโฟน การตรวจจับการเสียบอุปกรณ์พกพาแบบแฟลชไดรฟ์และการส่งออกไฟล์จากอุปกรณ์นั้น และรวมถึงข้อมูลการเข้าใช้งานบราวเซอร์ที่บันทึกไว้ และนี่เป็นตัวอย่างเพียงเล็กน้อย
Ref: https://thehackernews.com/2023/10/pro-hamas-hacktivists-targeting-israeli.html