Des hacktivistes pro-Hamas ciblent des entités israéliennes avec le logiciel malveillant Wiper

« Ce logiciel malveillant est un exécutable ELF x64, dépourvu d’obscurcissement ou de mesures de protection », indique Security Joes dans un nouveau rapport publié aujourd’hui. « Il permet aux attaquants de spécifier des dossiers cibles et peut potentiellement détruire un système d’exploitation entier s’il est exécuté avec les permissions root.

Parmi ses autres capacités, citons le multithreading pour corrompre les fichiers simultanément afin d’améliorer sa vitesse et sa portée, l’écrasement des fichiers, leur renommage avec une extension contenant la chaîne codée en dur « BiBi » (au format « [RANDOM_NAME].BiBi[NUMBER] »), et l’exclusion de certains types de fichiers de la corruption.

Bien que la chaîne « bibi » (dans le nom du fichier) puisse sembler aléatoire, elle a une signification importante lorsqu’elle est associée à des sujets tels que la politique au Moyen-Orient, car il s’agit d’un surnom commun utilisé pour le Premier ministre israélien, Benjamin Netanyahu », a ajouté l’entreprise de cybersécurité.

Le logiciel malveillant destructeur, codé en C/C++ et dont le fichier pèse 1,2 Mo, permet à l’auteur de la menace de spécifier des dossiers cibles via des paramètres de ligne de commande, en optant par défaut pour le répertoire racine (« / ») si aucun chemin d’accès n’est fourni. Toutefois, l’exécution de l’action à ce niveau nécessite des autorisations de type « root ».
Un autre aspect notable de BiBi-Linux Wiper est son utilisation de la commande nohup pendant l’exécution afin de le faire fonctionner sans entrave en arrière-plan. Les types de fichiers qui ne sont pas écrasés sont ceux qui portent les extensions .out ou .so.

« Cela s’explique par le fait que la menace s’appuie sur des fichiers tels que bibi-linux.out et nohup.out pour fonctionner, ainsi que sur des bibliothèques partagées essentielles au système d’exploitation Unix/Linux (fichiers .so) », explique l’entreprise.

Ce développement intervient alors que Sekoia a révélé que l’acteur suspecté d’être affilié au Hamas et connu sous le nom d’Arid Viper (alias APT-C-23 Desert Falcon Gaza Cyber Gang et Molerats) est probablement organisé en deux sous-groupes, chacun se concentrant sur des activités de cyberespionnage contre Israël et la Palestine respectivement.

Les chaînes d’attaque orchestrées par le groupe comprennent des attaques d’ingénierie sociale et d’hameçonnage pour déployer une grande variété de malwares personnalisés afin d’espionner ses victimes. Cela comprend Micropsia PyMicropsia Arid Gopher et BarbWire ainsi qu’une nouvelle porte dérobée non documentée appelée Rusty Vipers écrite en Rust.

Collectivement, l’arsenal d’Arid Vipers offre diverses capacités d’espionnage telles que l’enregistrement audio à l’aide d’un microphone, la détection des lecteurs flash insérés et l’exfiltration des fichiers qu’ils contiennent, le vol des informations d’identification des navigateurs sauvegardés, entre autres, comme l’a noté ESET au début du mois.