Nhóm ứng phó sự cố của công ty bảo mật Security Joe (Israel) cho biết trong quá trình điều tra kỹ thuật số, họ đã tìm thấy phần mềm độc hại Wiper mới mà họ theo dõi với tên gọi BiBi-Linux Wiper.

Security Joe cho biết trong một báo cáo mới được công bố vào ngày 30/10: “Phần mềm độc hại này là một tệp thực thi x64 ELF và thiếu các biện pháp che giấu hoặc bảo vệ. Nó cho phép kẻ tấn công chỉ định các thư mục đích và có khả năng phá hủy toàn bộ hệ điều hành nếu chạy với quyền root”.

Các nhà nghiên cứu cũng cho biết BiBi-Linux Wiper cũng tận dụng đồng thời nhiều luồng và hàng đợi để làm hỏng các tệp, nâng cao tốc độ và phạm vi tiếp cận của nó. Các hành động của nó bao gồm: ghi đè các tệp, đổi tên tệp bằng một chuỗi ngẫu nhiên có chứa “BiBi” và loại từ một số tệp nhất định để không phá hủy.

Mặc dù chuỗi BiBi (trong tên tệp) có thể xuất hiện ngẫu nhiên nhưng nó có ý nghĩa quan trọng khi kết hợp với các chủ đề như chính trị ở khu vực Trung Đông, vì đây là biệt danh phổ biến được sử dụng cho Thủ tướng Israel, Benjamin Netanyahu.

Phần mềm độc hại được viết bằng C/C++ và có kích thước 1,2 MB, cho phép kẻ tấn công chỉ định các thư mục mục tiêu thông qua các tham số dòng lệnh, theo mặc định chọn thư mục gốc nếu không có đường dẫn nào được cung cấp, tuy nhiên thực hiện hành động ở cấp độ này yêu cầu quyền root.

Một khía cạnh đáng chú ý khác của BiBi-Linux Wiper là việc sử dụng lệnh Nohup trong quá trình thực thi để chạy nó không bị cản trở ở chế độ nền. Một số loại tệp bị bỏ qua khỏi bị ghi đè là những tệp có phần mở rộng .out hoặc .so.

Cuộc tấn công mạng này diễn ra khi công ty an ninh mạng Sekoia (Pháp) tiết lộ rằng nhóm tin tặc bị nghi ngờ có liên quan đến Hamas được gọi là Arid Viper (còn gọi là APT-C-23, Desert Falcon, Gaza Cyber Gang và Molerats) có thể được tổ chức thành hai nhóm nhỏ, với mỗi nhóm tập trung vào các hoạt động gián điệp mạng chống lại cả Israel và Palestine.

Theo các nhà nghiên cứu Tom Hegel và Aleksandar Milenkoski của hãng bảo mật SentinelOne (Mỹ) thì Arid Viper là nhóm tin tặc thực hiện các hoạt động gián điệp mạng và đánh cắp thông tin hoạt động ít nhất kể từ năm 2017, chủ yếu nhắm vào các mục tiêu ở Trung Đông. Chúng thường tấn công vào các cá nhân nổi bật của người Palestine và Israel đã được lựa chọn trước, thường từ các lĩnh vực quan trọng như các tổ chức quốc phòng và chính phủ, cơ quan thực thi pháp luật cũng như các đảng phái hoặc phong trào chính trị.

Arid Viper sử dụng nhiều loại phần mềm độc hại trong hoạt động của mình, bao gồm các ứng dụng stager, backdoor và phần mềm gián điệp di động dành cho nền tảng iOS và Android. Phần mềm độc hại của Arid Viper được tích cực duy trì và nâng cấp để đáp ứng yêu cầu hoạt động của nhóm. Nhóm tin tặc này đã liên tục thể hiện sự đổi mới bằng cách áp dụng các phương pháp phát triển phần mềm độc hại mới trên nhiều ngôn ngữ lập trình và tập lệnh, chẳng hạn như Delphi, Go, Python và C++.

Các chuỗi tấn công do nhóm này dàn dựng bao gồm các cuộc tấn công kỹ nghệ xã hội và lừa đảo là các biện pháp ban đầu để triển khai nhiều loại phần mềm độc hại tùy chỉnh nhằm theo dõi nạn nhân. Các phần mềm độc hại bao gồm: Micropsia, PyMicropsia, Arid Gopher, BarbWire và backdoor mới có tên là Rusty Viper được viết bằng Rust.

ESET cho biết: “Nhìn chung, kho vũ khí của Arid Viper cung cấp các khả năng gián điệp đa dạng như ghi âm bằng micrô, phát hiện ổ đĩa flash được lắp vào và trích xuất các tệp từ chúng cũng như đánh cắp thông tin xác thực trình duyệt đã lưu”.