Κακόβουλο λογισμικό υαλοκαθαριστήρα BiBi-Linux που χρησιμοποιείται ενάντια σε Ισραηλινούς στόχους

Ένα πρόσφατα ανακαλυφθέν κακόβουλο λογισμικό που ονομάζεται BiBi-Linux χρησιμοποιείται σε επιθέσεις που στοχεύουν σε συστήματα Linux που ανήκουν σε ισραηλινές εταιρείες, με σκοπό τη διαγραφή δεδομένων.

Η ομάδα Αντιμετώπισης Συμβάντων στο Security Joes αποκάλυψε αυτό το κακόβουλο ωφέλιμο φορτίο κατά τη διερεύνηση μιας παραβίασης ασφαλείας στο δίκτυο ενός Ισραηλινού οργανισμού. Μέχρι στιγμής, μόνο δύο μηχανές σάρωσης κακόβουλου λογισμικού των προμηθευτών ασφαλείας αναγνωρίζουν το BiBi-Linux ως απειλή, όπως αναφέρει το VirusTotal.

Αυτό το κακόβουλο λογισμικό διακρίνεται επειδή δεν αφήνει σημείωμα λύτρων ή οποιοδήποτε μέσο για τα θύματα να επικοινωνήσουν με τους εισβολείς για διαπραγματεύσεις για λύτρα, παρόλο που προσποιείται ότι κρυπτογραφεί αρχεία.

Σύμφωνα με τα λόγια των ερευνητών του Security Joes, «Αυτή η νέα απειλή δεν δημιουργεί επικοινωνία με απομακρυσμένους διακομιστές Command & Control (C2) για εξαγωγή δεδομένων, χρησιμοποιεί αναστρέψιμους αλγόριθμους κρυπτογράφησης ή χρησιμοποιεί σημειώσεις λύτρων για να πιέσει τα θύματα να πραγματοποιήσουν πληρωμές». Αντίθετα, καταστρέφει τα αρχεία αντικαθιστώντας τα με άχρηστα δεδομένα, προκαλώντας βλάβη τόσο στα δεδομένα όσο και στο λειτουργικό σύστημα.

BiBi-Linux - Τρόπος Λειτουργίας

Το ωφέλιμο φορτίο, που προσδιορίζεται ως ένα εκτελέσιμο αρχείο x64 ELF με το όνομα bibi-linux.out, επιτρέπει στους εισβολείς να επιλέξουν ποιους φακέλους θα κρυπτογραφήσουν χρησιμοποιώντας παραμέτρους της γραμμής εντολών. Εάν εκτελείται με δικαιώματα root και δεν παρέχεται συγκεκριμένη διαδρομή προορισμού, μπορεί να εξαφανίσει εντελώς το λειτουργικό σύστημα μιας παραβιασμένης συσκευής επιχειρώντας να διαγράψει ολόκληρο τον ριζικό κατάλογο '/'.

Το BiBi-Linux χρησιμοποιεί πολλαπλά νήματα και ένα σύστημα ουράς για να βελτιώσει την ταχύτητα και την αποτελεσματικότητα. Αντικαθιστά τα περιεχόμενα του αρχείου, καθιστώντας τα άχρηστα και προσθέτει ένα όνομα που μοιάζει με λύτρα και μια επέκταση που περιέχει τον όρο «BiBi» (ψευδώνυμο που σχετίζεται με τον πρωθυπουργό του Ισραήλ, Μπέντζαμιν Νετανιάχου) ακολουθούμενο από έναν αριθμό.

Ο προσαρτημένος αριθμός υποδηλώνει πόσες φορές ένα αρχείο έχει διαγραφεί, όπως παρατηρείται από το BleepingComputer. Αξίζει να σημειωθεί ότι το δείγμα κακόβουλου λογισμικού που ανακαλύφθηκε από τον Security Joes στερείται οποιασδήποτε συσκότισης, συσκευασίας ή άλλων προστατευτικών μέτρων, απλοποιώντας το έργο των αναλυτών κακόβουλου λογισμικού.

Αυτό υποδηλώνει ότι οι παράγοντες της απειλής δεν ανησυχούν υπερβολικά για τον εντοπισμό και την ανατομή των εργαλείων τους. Αντίθετα, επικεντρώνονται στη μεγιστοποίηση του αντίκτυπου των επιθέσεών τους.

Το καταστροφικό κακόβουλο λογισμικό έχει επίσης χρησιμοποιηθεί εκτενώς από ρωσικές ομάδες απειλών για να στοχεύουν ουκρανικούς οργανισμούς, ιδιαίτερα μετά την εισβολή της Ρωσίας στην Ουκρανία τον Φεβρουάριο του 2022. Αξιοσημείωτα κακόβουλα προγράμματα υαλοκαθαριστήρων που χρησιμοποιήθηκαν για τέτοιες επιθέσεις περιλαμβάνουν τα DoubleZero, HermeticWiper, IsaacWiper, WhisperKill, WhisperGate, CaddyWiper και AcidWiper.

Για παράδειγμα, τον Ιανουάριο, Ρώσοι στρατιωτικοί χάκερ Sandworm χρησιμοποίησαν πέντε διαφορετικά στελέχη κακόβουλου λογισμικού που σκουπίζουν δεδομένα στο δίκτυο του εθνικού πρακτορείου ειδήσεων της Ουκρανίας (Ukrinform).