Un gruppo di hacker attivisti pro-Hamas utilizza un nuovo malwar, chiamato Wiper basato su Linux denominato BiBi-Linux Wiper, prendendo di mira entità israeliane nel mezzo della guerra in corso tra Israele e Hamas.
Cosa sappiamo del malware Wiper
“Questo malware [wiper] è un eseguibile x64 ELF, privo di offuscamento o misure protettive“, ha affermato Security Joes in un nuovo rapporto pubblicato oggi. “Consente agli aggressori di specificare le cartelle di destinazione e può potenzialmente distruggere un intero sistema operativo se eseguito con permessi di root.”
Alcune delle altre funzionalità di questo malware includono il multithreading per corrompere i file contemporaneamente per migliorarne la velocità e la portata, sovrascrivere file, rinominarli con un’estensione contenente la stringa hardcoded “BiBi” (nel formato “[RANDOM_NAME].BiBi[NUMERO]”) ed escludendo che alcuni tipi di file vengano danneggiati.
“Anche se la stringa “bibi” (nel nome del file), può sembrare casuale, ha un impatto significativo se mescolata con argomenti come la politica in Medio Oriente, poiché è un soprannome comune usato per il primo ministro israeliano, Benjamin Netanyahu,” ha aggiunto la società di sicurezza informatica.
Il malware distruttivo, programmato in linguaggio C/C++ e con una dimensione del file di 1,2 MB, consente ai non ben noti autori (hacker) di specificare le cartelle di destinazione tramite parametri della riga di comando su terminale Linux, optando per impostazione predefinita per la directory principale (“/”) se non viene fornito alcun percorso. Tuttavia, l’esecuzione dell’azione a questo livello richiede i permessi di root.
Un altro aspetto degno di nota di BiBi-Linux Wiper è l’uso del comando nohup (un comando noto in ambiente Unix) durante l’esecuzione in modo da eseguirlo senza ostacoli in background, ciò significa che alcuni dei tipi di file che non vengono sovrascritti sono quelli con estensione .out o .so.
“Questo perché la minaccia [BiBi-Linux Wiper] si basa su file come bibi-linux.out e nohup.out per il suo funzionamento, insieme a librerie condivise essenziali per il sistema operativo Unix/Linux (file .so)“, ha affermato la società.
Lo sviluppo della vicenda arriva quando Sekoia ha rivelato che il sospetto gruppo affiliato ad Hamas noto come Arid Viper (probabilmente conosciuto anche con i nomi di APT-C-23, Desert Falcon, Gaza Cyber Gang e Molerats) è probabilmente organizzato in due sottogruppi, con ciascun cluster focalizzato su attività di spionaggio informatico rispettivamente contro Israele e Palestina.
“Prendere di mira gli individui [singoli individui] è una pratica comune di [del gruppo] Arid Viper“, hanno affermato i ricercatori di SentinelOne Tom Hegel e Aleksandar Milenkoski in un’analisi pubblicata la scorsa settimana, aggiungendo “Ciò include obiettivi preselezionati palestinesi e israeliani di alto profilo, nonché gruppi più ampi, tipicamente provenienti da settori critici come organizzazioni governative e di difesa, forze dell’ordine e partiti o movimenti politici“.
La serie di attacchi orchestrata dal gruppo Arid Viper include, attacchi di ingegneria sociale e phishing come vettori iniziali di intrusione per distribuire un’ampia varietà di malware personalizzati per spiare le vittime; questo comprende Micropsia, PyMicropsia, Arid Gopher e BarbWire e una nuova backdoor non documentata chiamata Rusty Viper scritta in Rust.
“Collettivamente, l’arsenale di Arid Viper offre diverse funzionalità di spionaggio come la registrazione dell’audio con il microfono, il rilevamento delle unità flash inserite e l’estrazione di file da esse e il furto delle credenziali del browser salvate, per citarne solo alcune“, ha pubblicato ESET in un suo rapporto all’inizio di questo mese.
Conclusione
I sistemi operativi Linux sono storicamente più solidi di Windows, questo però, come fa notare il caso BiBi-Linux Wiper, non vuol dire che sono invulnerabili, pertanto anche i governi devono potenziare la sicurezza informatica su sistemi operativi Linux; quesat non è che l’ennesima dimostrazione che non è assolutamente vero il famoso “adagio” che recita “metti Linux e non prendi virus”.
