BiBi Wiper blijkt een zeer destructieve malwaredreiging te zijn

De BiBi-wisser is naar voren gekomen als een formidabele dreiging, gekoppeld aan Void Manticore, een Iraanse cyberdreigingsspeler verbonden aan het Ministerie van Inlichtingen en Veiligheid (MOIS). Deze groep staat bekend om zijn destructieve veegaanvallen en beïnvloedingsoperaties. Hun activiteiten hadden vooral impact in Israël en Albanië, waarbij hun operaties aanzienlijke overlappingen met een andere groep, Scarred Manticore, aan het licht brachten.

Leegte Manticore: een profiel

Void Manticore, ook bekend als Storm-842, opereert onder verschillende persona's, met name "Homeland Justice" voor aanvallen in Albanië en "Karma" voor operaties in Israël. Deze groep gebruikt verschillende methoden, waaronder op maat gemaakte ruitenwissers voor Windows en Linux, om hun ontwrichtende activiteiten uit te voeren.

Samenwerking met Scarred Manticore

De operaties van Void Manticore kruisen vaak die van Scarred Manticore (Storm-861), wat wijst op een systematische overdracht van doelen. Dankzij deze samenwerking kan Void Manticore de toegang en mogelijkheden van Scarred Manticore benutten, waardoor de effectiviteit van hun aanvallen wordt vergroot.

De TTP's van Void Manticore zijn relatief eenvoudig en omvatten vaak het handmatig verwijderen van bestanden en zijdelingse verplaatsingen met behulp van Remote Desktop Protocol (RDP). Hun tools zijn eenvoudig, meestal openbaar beschikbaar, en omvatten verschillende webshells zoals de 'Karma Shell'.

De BiBi-wisser

Een kenmerk van de activiteiten van Void Manticore in Israël is de inzet van de BiBi-wisser, genoemd naar de Israëlische premier Benjamin Netanyahu. Deze aangepaste wisser is op grote schaal gebruikt tegen Israëlische organisaties, met varianten voor zowel Linux- als Windows-systemen.

Linux-versie

De Linux-versie van de BiBi-wisser, bekend als bibi-linux.out, corrumpeert bestanden met willekeurige gegevens en hernoemt ze met willekeurige namen en de extensie ".BiBi". Het vermijdt het infecteren van bestanden die essentieel zijn voor het besturingssysteem om het wisproces te behouden.

Windows-versie

De Windows-variant, bibi.exe, volgt een soortgelijk patroon, maar bevat extra functies zoals het verwijderen van schaduwkopieën en het uitschakelen van triggers voor foutherstel. Het voorkomt ook dat kritieke systeembestanden worden vernietigd, waardoor de ruitenwisser effectief kan werken.

Invloedoperaties: de rol van ‘karma’

De ‘Karma’-persona speelt een cruciale rol in de strategie van Void Manticore, vooral in Israël. Aanvankelijk gezien als onderdeel van een bredere hacktivistische inspanning, kreeg Karma bekendheid door de associatie met de BiBi-wisser. Deze persona heeft met succes meer dan 40 Israëlische organisaties aangevallen, waarbij de nadruk lag op het wissen, stelen en publiceren van gegevens.

De samenwerking tussen Void Manticore en Scarred Manticore illustreert een hoge mate van coördinatie, waardoor Void Manticore toegang krijgt tot waardevolle doelen en hun destructieve activiteiten efficiënt kan uitvoeren. Deze samenwerking, gecombineerd met hun invloedsoperaties, positioneert Void Manticore als een aanzienlijke bedreiging binnen het Iraanse cyberlandschap.

Van Albanië tot het Midden-Oosten

De activiteiten van Void Manticore reiken verder dan Israël, met opmerkelijke activiteiten in Albanië. De overdrachtsprocedure die werd waargenomen bij aanvallen op beide landen suggereert een routinematig proces van doelwitovergang tussen Scarred Manticore en Void Manticore. Deze methode kwam vooral duidelijk naar voren bij de vernietigende aanvallen op Albanië, waar Void Manticore ruitenwissers inzet die vergelijkbaar zijn met die welke in Israël worden gebruikt.

Conclusie

Void Manticore heeft zich door zijn destructieve wiper-aanvallen en strategisch gebruik van online persona's bewezen als een gevaarlijke en gecoördineerde dreigingsacteur. Hun samenwerking met Scarred Manticore en het gebruik van de BiBi-wisser benadrukken hun vermogen om aanzienlijke schade aan te richten en politieke verhalen te beïnvloeden in de regio's waarop zij zich richten.