Siber güvenlik araştırmacıları, daha önce İsrail’e yönelik siber saldırılarda Linux sistemlerini hedef aldığı gözlemlenen, silici kötü amaçlı yazılımın Windows sürümü hakkında uyarıda bulundu.
Dublajlı BiBi-Windows Silecek BlackBerry tarafından geliştirilen silecek, geçen ay İsrail-Hamas savaşı sonrasında Hamas yanlısı bir hacktivist grup tarafından kullanılmaya başlanan BiBi-Linux Wiper’ın Windows’taki karşılığıdır.
“Windows çeşidi […] Kanadalı şirket Cuma günü yaptığı açıklamada, sileceği oluşturan tehdit aktörlerinin kötü amaçlı yazılım oluşturmaya devam ettiğini doğruluyor ve saldırının son kullanıcı makinelerini ve uygulama sunucularını hedef alacak şekilde genişlediğini gösteriyor.” dedi.
Slovak siber güvenlik firması izleme BiBiGun adı altında sileceğin arkasındaki aktör, Windows sürümünün (bibi.exe) C:\Users dizinindeki verilerin üzerine tekrar tekrar önemsiz veriler yazmak üzere tasarlandığını ve dosya adına .BiBi eklendiğini belirtiyor.
BiBi-Windows Wiper eserinin savaşın başlamasından iki hafta sonra, 21 Ekim 2023’te derlendiği söyleniyor. Dağıtımının kesin yöntemi şu anda bilinmiyor.
Silecek, .exe, .dll ve .sys uzantılı dosyalar hariç tüm dosyaları bozmanın yanı sıra sistemdeki gölge kopyaları da silerek kurbanların dosyalarını kurtarmasını etkili bir şekilde engeller.
Linux versiyonuyla bir diğer dikkate değer benzerlik, çoklu iş parçacığı yeteneğidir.
BlackBerry siber tehdit istihbaratı kıdemli direktörü Dmitry Bestuzhev, “Mümkün olan en hızlı imha eylemi için kötü amaçlı yazılım, sekiz işlemci çekirdeğiyle 12 iş parçacığı çalıştırıyor” dedi.
Sileceğin gerçek dünyadaki saldırılarda kullanılıp kullanılmadığı ve eğer öyleyse hedeflerin kim olduğu hemen belli değil.
Bu gelişme, BiBi-Linux Wiper’ı ilk kez belgeleyen Security Joes’un, kötü amaçlı yazılımın “veri imhası yoluyla günlük operasyonlarını aksatmak amacıyla İsrail şirketlerini hedef alan daha büyük bir kampanyanın” parçası olduğunu söylemesiyle ortaya çıktı.
Siber güvenlik firması, kendilerine Karma adını veren hacktivist grup ile İran kökenli olduğundan şüphelenilen Musa Personeli (diğer adıyla Kobalt Sapling) kod adlı jeopolitik motivasyona sahip başka bir aktör arasında taktiksel örtüşmeler tespit ettiğini söyledi.
Security Joes, “Kampanya öncelikle İsrail bilişim teknolojileri ve bu noktaya kadar hükümet sektörleri etrafında yoğunlaşmış olsa da, Moses Staff gibi katılımcı gruplardan bazılarının çeşitli iş sektörleri ve coğrafi konumlardaki kuruluşları eş zamanlı olarak hedef alma geçmişi var” dedi.