Массовое уничтожение данных в Израиле: поддельное обновление F5 BIG-IP как новый инструмент в кибервойне

Национальное управление кибербезопасности Израиля предупреждает о фишинговых атаках, маскирующихся под обновления безопасности для устройств BIG-IP компании F5 Networks. В ходе атак распространяются вайперы для Windows и Linux.

Национальное управление кибербезопасности Израиля (Israel's National Cyber Directorate, INCD) действует как CERT, ответственный за защиту страны от киберугроз и предупреждение организаций и граждан об известных атаках.

С октября Израиль подвергается масштабным кибератакам хакеров, поддерживающих Палестину и Иран, которые осуществляют кражи и уничтожение данных израильских организаций. В ноябре был обнаружен новый вайпер под названием BiBi Wiper, нацеленный как на устройства Linux и Windows, и стирающий данные на целевых устройствах. Создание программы приписывают хактивистам, поддерживающим ХАМАС.

INCD предупредил о новой фишинговой атаке, в ходе которой средства очистки данных отправлялись по электронной почте под видом предупреждения о наличии уязвимости нулевого дня (Zero Day) в устройствах F5 BIG-IP. Пропалестинская группа хактивистов Handala взяла на себя ответственность за атаку, утверждая, что участники группировки проникли во множество израильских сетей. Однако подтвердить заявления группы специалистам не удалось.

Фишинговые письма предупреждают об активном использовании уязвимости F5 BIG-IP в атаках и призывают израильские организации загрузить и установить обновление безопасности. Для пользователей Windows письма предлагают файл под названием F5UPDATER.exe, а для Linux — скрипт под названием update.sh.

Вайпер на Windows выдает себя за обновление безопасности F5

Обе версии вайпера пытаются имитировать обновление безопасности F5, отображая логотип компании. После нажатия кнопки «Update» программа отправляет данные об устройстве в Telegram-канал и пытается стереть все данные на компьютере. Однако, по данным BleepingComputer, программа работает с ошибками и не удаляет все данные.

Версия для Linux представляет собой скрипт, который сначала загружает необходимые для очистки данных программы, такие как xfsprogs, wipe и parted. Программы сначала удаляют всех пользователей в системе, затем используют команду «wipe» для удаления связанных с ними директорий. Затем программа пытается удалить все системные файлы и разделы на устройстве Linux. После завершения компьютер перезагружается, чтобы изменения разделов вступили в силу. Подобно версии для Windows, Linux-версия также передает информацию об устройстве и обновлениях состояния в Telegram-канал.

Вайперы стали серьёзной проблемой для Израиля, так как хактивисты часто используют их в разрушительных атаках, направленных на нарушение операций и экономики страны. Как всегда, лучшая защита — это скачивание файлов из электронной почты только в том случае, если они поступают из проверенного и подтверждённого источника. Кроме того, обновления безопасности следует загружать только напрямую от производителя оборудования, а не со сторонних сайтов.