هک نهادهای صهیونیستی با بدافزار پاک‌کن

به گزارش کارگروه بین‌الملل سایبربان؛ به گفته کارشناسان، یک گروه هکری طرفدار حماس از یک بدافزار جدید پاک‌کن مبتنی بر لینوکس به نام «BiBi-Linux Wiper» استفاده می‌کند که نهادهای اسرائیلی را در بحبوحه جنگ جاری رژیم صهیونیستی و حماس هدف قرار می‌دهد.

محققان در گزارشی اعلام کردند :

«این بدافزار یک x64 ELF قابل اجرا و فاقد هرگونه ابهام یا اقدامات حفاظتی است که به مهاجمان اجازه می‌دهد تا پوشه‌های هدف را مشخص کنند و اگر با مجوزهای ریشه اجرا شود، می‌تواند کل سیستم عامل را به طور بالقوه نابود کند.»

برخی قابلیت‌های دیگر آن شامل چند رشته‌ای برای خراب کردن فایل‌ها به طور همزمان برای افزایش سرعت و دسترسی، بازنویسی فایل‌ها، تغییر نام آن‌ها با پسوندی حاوی رشته رمزگذاری‌شده «BiBi» (در قالب «[RANDOM_NAME].BiBi[NUMBER]») است. و انواع خاصی از فایل ها را حذف می‌کند.

در گزارش کارشناسان آمده است :

«در حالیکه رشته بی‌بی ممکن است تصادفی به نظر برسد، اما معنای قابل توجهی دارد، زیرا این نام مستعار رایج برای بنیامین نتانیاهو، نخست وزیر اسرائیل است.»

بدافزار مخرب، کدگذاری شده با C/C++ و حجم فایل 1.2 مگابایتی، به عامل تهدید اجازه می‌دهد تا پوشه‌های هدف را از طریق پارامترهای خط فرمان مشخص کند، به‌طور پیش‌فرض اگر مسیری ارائه نشد، دایرکتوری ریشه ("/") را انتخاب کند. با این حال، انجام عمل در این سطح نیاز به مجوزهای ریشه دارد.

یکی دیگر از جنبه‌های قابل توجه BiBi-Linux Wiper استفاده از دستور «nohup» در حین اجرا است تا بدون مانع در پس‌زمینه اجرا شود. برخی از انواع فایل‌هایی که بازنویسی نمی‌شوند، آنهایی هستند که پسوندهای .out یا .so دارند.

محققان اظهار داشتند :

«تهدید وابسته به فایل‌هایی مانند bibi-linux.out و nohup.out برای عملکردش، همراه با کتابخانه‌های مشترک ضروری برای سیستم‌عامل یونیکس/لینوکس (فایل‌های .so) است.»

محققان غربی ادعا کردند که عامل تهدید وابسته به حماس، معروف به «Arid Viper» با نام مستعار «APT-C-23»، شاهین صحرا، باند سایبری غزه، و مولرات، احتمالاً به‌عنوان دو گروه فرعی سازمان‌دهی شده است که هر خوشه روی فعالیت‌های جاسوسی سایبری علیه اسرائیل و فلسطین متمرکز است.

تام هِگِل (Tom Hegel) و الکساندر میلنکوسکی (Aleksandar Milenkoski)، محققان شرکت امنیت سایبری «SentinelOne»، در تحلیلی مدعی شدند :

«هدف قرار دادن افراد روش معمول Arid Viper است. اهداف از پیش انتخاب شده گروه هکری شامل اهداف فلسطینی و اسرائیلی و همچنین گروه‌های گسترده‌تر، معمولاً از بخش‌های حیاتی مانند سازمان‌های دفاعی و دولتی، مجری قانون و احزاب یا جنبش‌های سیاسی است.»

بنابر ادعای کارشناسان، زنجیره‌های حمله سازمان‌دهی‌شده توسط این گروه شامل مهندسی اجتماعی و حملات فیشینگ به‌عنوان بردارهای نفوذ اولیه برای استقرار طیف گسترده‌ای از بدافزارهای سفارشی برای جاسوسی از اهداف شامل میکروپسیا (Micropsia)، «PyMicropsia»، «Arid Gopher» و «BarbWire» و یک درب پشتی بدون سند جدید به نام «Rusty Viper» است که در Rust نوشته شده است.

شرکت امنیت سایبری «ESET» اوایل ماه جاری عنوان کرد که در مجموع Arid Viper قابلیت‌های جاسوسی متنوعی مانند ضبط صدا با میکروفون، شناسایی درایوهای فلش درج شده و استخراج فایل‌ها از آن‌ها و سرقت اطلاعات کاربری ذخیره‌شده مرورگر را فراهم می‌کند.