En medio del conflicto en curso entre Israel y Hamás, una nueva y alarmante amenaza ha surgido en el ciberespacio.
Hacktivistas pro-Hamás han desplegado un malware de limpieza basado en Linux, denominado BiBi-Linux Wiper, dirigido específicamente a entidades israelíes.
Este malware, detectado por expertos en seguridad de la firma Security Joes, representa una seria preocupación para la comunidad internacional.
El BiBi-Linux Wiper se presenta como un ejecutable ELF x64, notable por su falta de ofuscación o medidas de protección.
Según el informe publicado por Security Joes, este malware permite a los atacantes seleccionar carpetas de destino y, en caso de ejecutarse con permisos de root, tiene el potencial de destruir un sistema operativo completo.
La capacidad de especificar múltiples carpetas de destino y dañar archivos simultáneamente mejora su velocidad y alcance, lo que lo convierte en una amenaza altamente eficiente y destructiva.
Uno de los aspectos más inquietantes de este malware es su capacidad para sobrescribir archivos y renombrarlos con una extensión que contiene la cadena codificada “BiBi”.
Los archivos afectados adoptan un nuevo formato, “[NOMBRE_ALEATORIO].BiBi[NÚMERO]”, lo que facilita la identificación de los datos dañados. Además, los atacantes han implementado medidas para excluir ciertos tipos de archivos, evitando que se dañen, lo que sugiere una cierta sofisticación en el diseño del malware.
La falta de ofuscación y medidas de protección en el BiBi-Linux Wiper plantea una seria amenaza para las entidades israelíes que son el blanco de estos ataques.
Al carecer de restricciones significativas, este malware puede propagarse y dañar sistemas con relativa facilidad, lo que representa un desafío considerable para los expertos en ciberseguridad que intentan contener su impacto.
La situación actual en la región ya es altamente volátil, y la introducción de esta amenaza cibernética agrega una capa adicional de complejidad y preocupación.
Las autoridades israelíes y los expertos en seguridad cibernética de todo el mundo están trabajando incansablemente para contener y neutralizar esta nueva amenaza.
Mientras la comunidad internacional sigue de cerca los desarrollos en el conflicto entre Israel y Hamás, la emergencia de esta sofisticada ciberamenaza subraya la necesidad urgente de una cooperación global en la lucha contra el cibercrimen.
La seguridad cibernética se ha convertido en un aspecto crucial de los conflictos modernos, y enfrentar estas amenazas requiere una respuesta internacional coordinada y efectiva.
El uso del término ‘BiBi’ como apodo para el primer ministro israelí, Benjamín Netanyahu, en la esfera pública y política de la región, añade una dimensión de intencionalidad política al malware.
Esta elección específica por parte de los atacantes subraya la posible motivación ideológica detrás del ciberataque, vinculando el mundo digital con las complejidades políticas del conflicto en el Medio Oriente.
El malware BiBi-Linux Wiper, desarrollado en C/C++ y con un tamaño de archivo de 1,2 MB, presenta una serie de características técnicas preocupantes. Permite al actor de la amenaza especificar carpetas de destino utilizando parámetros de línea de comandos, con la opción predeterminada de dirigirse al directorio raíz (“/”) si no se proporciona ninguna ruta específica.
Sin embargo, realizar acciones a este nivel requiere permisos de root, lo que significa que el malware busca obtener los más altos privilegios en el sistema para llevar a cabo sus operaciones destructivas.
Además, el BiBi-Linux Wiper utiliza el comando ‘nohup’ durante su ejecución, permitiéndole funcionar sin obstáculos en segundo plano. Esta técnica le otorga una capacidad adicional para operar de manera sigilosa y persistente, lo que dificulta su detección y eliminación por parte de los sistemas de seguridad.
Es importante destacar que este malware selectivamente excluye ciertos tipos de archivos, como los que tienen las extensiones .out o .so, de su proceso de sobrescritura.
Esta estrategia indica una cierta sofisticación por parte de los atacantes, quienes han identificado archivos específicos necesarios para el funcionamiento esencial del sistema y han evitado afectarlos.
Estas tácticas técnicas, combinadas con la intencionalidad política detrás del apodo ‘BiBi’, refuerzan la preocupación sobre la naturaleza altamente coordinada y dirigida de este ciberataque.
La empresa de ciberseguridad señaló que el malware BiBi-Linux Wiper depende de archivos específicos, como bibi-linux.out y nohup.out, junto con bibliotecas compartidas esenciales para el sistema operativo Unix/Linux (archivos .so) para su funcionamiento.
Estos archivos son críticos para el malware y, por lo tanto, no son sobrescritos durante el ataque.
Además, se reveló que Arid Viper, un grupo de amenazas cibernéticas asociado a Hamas y conocido por varios nombres, está organizado en dos subgrupos.
Cada subgrupo se enfoca en actividades de ciberespionaje contra objetivos individuales en Israel y Palestina, respectivamente.
La práctica de apuntar a individuos en lugar de organizaciones enteras es una estrategia comúnmente utilizada por Arid Viper en sus operaciones cibernéticas, según los expertos de SentinelOne.
La seguridad cibernética
El enfoque del grupo cibernético Arid Viper se dirige a objetivos cuidadosamente seleccionados tanto en Palestina como en Israel, incluyendo figuras prominentes, así como a grupos más amplios pertenecientes a sectores críticos.
Estos sectores incluyen organizaciones gubernamentales y de defensa, fuerzas del orden, así como partidos o movimientos políticos en la región.
Este patrón indica una estrategia de ataque meticulosa y deliberada contra objetivos de alta importancia en el ámbito político y de seguridad en la región.
Las cadenas de ataques organizadas por el grupo involucran técnicas como ingeniería social y phishing, utilizadas como vectores iniciales de intrusión.
Estos métodos les permiten desplegar una variedad de malware personalizado, como Micropsia, PyMicropsia, Arid Gopher y BarbWire, para espiar a sus víctimas.
Además de estos, también han desarrollado una nueva puerta trasera indocumentada llamada Rusty Viper, escrita en el lenguaje de programación Rust. Estas tácticas sofisticadas subrayan la naturaleza altamente especializada y la complejidad de los ataques llevados a cabo por este grupo cibernético.
El conjunto de herramientas de Arid Viper ofrece una amplia gama de capacidades de espionaje. Estas incluyen funciones como la capacidad para grabar audio a través del micrófono del dispositivo, detectar unidades flash conectadas y extraer archivos de ellas, así como robar credenciales almacenadas en el navegador, entre otras habilidades.
Esta información fue proporcionada por ESET a principios de este mes, destacando la sofisticación y peligrosidad de las capacidades de espionaje empleadas por este grupo cibernético.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre ciberseguridad en
CloudExit: Elon Musk instala en tema para 2024
4 ERRORES CLAVE QUE COMETEN LOS CISO
WinRAR: ¿puede afectar a las elecciones 2023?
Microsegmentación crecerá a una tasa anual compuesta del 24% durante 2021-2027
Cibercrimen: Rusia y China lideran el mundo en 2023
NO TE PIERDAS LA ÚLTIMA EDICIÓN DE IT CONNECT SECURE STREAM