Οι επιθέσεις σκουπίσματος δεδομένων γίνονται πιο συχνές σε ισραηλινούς
υπολογιστές
καθώς οι ερευνητές ανακάλυψαν παραλλαγές της οικογένειας κακόβουλου λογισμικού BiBi που καταστρέφει δεδομένα τόσο σε συστήματα Linux όσο και σε συστήματα Windows.
Το Σαββατοκύριακο, η CERT του Ισραήλ δημοσίευσε μια
σε εγρήγορση με κανόνες
που θα μπορούσε να βοηθήσει τους οργανισμούς να εντοπίσουν ή να αποτρέψουν τη δραστηριότητα των παραγόντων της απειλής.
Οι επιθέσεις αποτελούν μέρος μιας ευρύτερης κυβερνοεπίθεσης που στοχεύει ισραηλινές οργανώσεις, συμπεριλαμβανομένων των τομέων της εκπαίδευσης και της τεχνολογίας.
Ο οργανισμός συνιστά στους οργανισμούς να χρησιμοποιούν τα παρεχόμενα αναγνωρισ
τι
κά για όλα τα εταιρικά συστήματα ασφαλείας (π.χ. πληροφορίες ασφάλειας και διαχείριση συμβάντων – SIEM, Εντοπισμός και Απόκριση Τελικού Σημείου (EDR) και προστασία από ιούς).
Η κυβέρνηση ζητά επίσης από τις εταιρείες να ενημερώσουν το εθνικό σύστημα στον
κυβερνοχώρο
εάν βρουν ένα ή περισσότερα αναγνωριστικά στους εταιρικούς κεντρικούς υπολογιστές.
Μια ανάλυση των επιθέσεων από ερευνητές στο Palo Alto Networks Unit42 αποδίδει τις επιθέσεις διαγραφής δεδομένων σε έναν παράγοντα απειλής που έχει “ισχυρές συνδέσεις με μια ομάδα APT που υποστηρίζεται από το Ιράν” που παρακολουθείται ως Agonizing Serpens (γνωστός και ως Agrius, BlackShadow, Pink Sandstorm και DEV- 0022).
Το κακόβουλο λογισμικό υαλοκαθαριστήρων απενεργοποιεί τις επιλογές ανάκτησης
Οι εκδόσεις του υαλοκαθαριστήρα BiBi είδαν στα τέλη Οκτωβρίου ερευνητές στις εταιρείες κυβερνοασφάλειας ESET και SecurityJoes, οι οποίοι σημείωσαν ότι κυκλοφόρησε από χακτιβιστές υπέρ της Χαμάς.
Το «
BiBi-Linux
» ανακαλύφθηκε από την ομάδα Αντιμετώπισης Συμβάντων του Security Joes, η οποία ανέφερε στις 30 Οκτωβρίου ότι πιθανότατα αναπτύχθηκε από χακτιβίστους υπέρ της Χαμάς για να προκαλέσει μη αναστρέψιμη καταστροφή δεδομένων και λειτουργική διακοπή.
Ερευνητές της ESET
ανακοινώθηκε την επόμενη μέρα
ότι ανακάλυψαν την παραλλαγή του κακόβουλου λογισμικού των Windows που αναπτύσσεται από μια ομάδα χακτιβιστών που υποστηρίζεται από τη Χαμάς, την οποία παρακολουθεί ως BiBiGun.
Το κακόβουλο λογισμικό επιτυγχάνει τον στόχο του απλώς αντικαθιστώντας αρχεία και δεν εμπλέκεται η διείσδυση δεδομένων, η κρυπτογράφηση ή η απαίτηση λύτρων.
Την Παρασκευή, η ομάδα πληροφοριών απειλών της BlackBerry δημοσίευσε ένα
τεχνική ανάλυση της παραλλαγής των Windows
για το κακόβουλο λογισμικό BiBi-Linux. Οι ερευνητές βρήκαν την παραλλαγή μια μέρα αφότου η SecurityJoes δημοσίευσε τα ευρήματά τους στον νέο υαλοκαθαριστήρα Linux.
Το κακόβουλο λογισμικό είναι συσκευασμένο σε ένα μικρό εκτελέσιμο αρχείο 203KB 64-bit. Κατά την εκκίνηση, δημιουργεί προφίλ στον επεξεργαστή του κεντρικού υπολογιστή για να καθορίσει τον αριθμό των νημάτων που μπορεί να αξιοποιήσει για γρήγορες επιθέσεις σκουπίσματος δεδομένων, υποστηρίζοντας έως και 12 νήματα σε οκτώ πυρήνες. Μια παρόμοια λογική πολλαπλών νημάτων και ουράς εμφανίστηκε στην παραλλαγή Linux.
Σύμφωνα με τους ερευνητές, ο παράγοντας απειλής χρησιμοποίησε την απλή τεχνική από δεξιά προς τα αριστερά για να παρακάμψει τους κανόνες ανίχνευσης μοτίβων που είναι συνηθισμένοι σε παλαιού τύπου προϊόντα προστασίας από ιούς.
Οι εντολές του BiBi αποθηκεύτηκαν με αντίστροφη σειρά για να αποφύγουν τον εντοπισμό
(Μαυρο μουρο)
Το BiBi για Windows στοχεύει όλους τους τύπους αρχείων εκτός από τα αρχεία .EXE, .DLL και .SYS, πιθανότατα επειδή η καταστροφή τους θα καθιστούσε τον υπολογιστή άχρηστο και οι hacktivists δεν θα μπορούσαν να μεταδώσουν το μήνυμά τους.
Τα στοχευμένα αρχεία αντικαθιστούν το περιεχόμενό τους με τυχαία byte για να μην μπορούν να ανακτηθούν και μετονομάζονται χρησιμοποιώντας μια σειρά τυχαίων γραμμάτων δέκα χαρακτήρων που ακολουθείται από μια αλφαριθμητική επέκταση που περιέχει τη συμβολοσειρά “BiBi”.
Για παράδειγμα, ένα αρχείο με το αρχικό όνομα “document.txt” μπορεί να μετονομαστεί σε “asdzxcqwer.BiBi3” μετά την επίθεση κακόβουλου λογισμικού.
Αυτή η διαδικασία είναι απρόβλεπτη, αποκρύπτοντας τα αρχικά ονόματα αρχείων και περιπλέκοντας περαιτέρω τις προσπάθειες ανάκτησης δεδομένων.
Για να αποτρέψει την εύκολη επαναφορά του συστήματος, το κακόβουλο λογισμικό διαγράφει επίσης τα σκιώδη αντίγραφα που διατηρούν στιγμιότυπα συστήματος από προηγούμενη κατάσταση και χρησιμοποιούνται συχνά για την ανάκτηση δεδομένων και ρυθμίσεων.
Επιπλέον, το BiBi απενεργοποιεί τη λειτουργία «Ανάκτηση σφαλμάτων» κατά την εκκίνηση του συστήματος και απενεργοποιεί τη λειτουργία «Ανάκτηση των Windows».
Η BlackBerry λέει ότι ο αρχικός φορέας μόλυνσης παραμένει άγνωστος εκείνη τη στιγμή.
Η Security Joes δημοσίευσε μια νέα, πιο περιεκτική αναφορά στα τέλη της περασμένης εβδομάδας, εξετάζοντας βαθύτερα την
καμπάνια
και το
Κάρμα
ομάδα χακτιβιστών
υπεύθυνος για την ενορχήστρωσή του.
Η έκθεση παρουσιάζει ορισμένες επικαλύψεις του Κάρμα με προηγουμένως γνωστές ιρανικές ομάδες χακτιβιστών, όπως το «Moses Staff», παλαιότερα γνωστό ότι εξαπέλυσε επιθέσεις κρυπτογράφησης δεδομένων χωρίς λύτρα.
Η SecurityJoes και η BlackBerry παρέχουν κανόνες YARA [
1
,
2
] για τον εντοπισμό των δύο γνωστών επί του παρόντος παραλλαγών του υαλοκαθαριστήρα BiBi μαζί με τους κατακερματισμούς για τα δύο εκτελέσιμα. Ένα άλλο σύνολο αναγνωριστικών [
TXT
,
CVS
] για τη δραστηριότητα απειλής BiBi είναι διαθέσιμη από την αρχή CERT του Ισραήλ.
VIA:
bleepingcomputer.com