БАХАМУТ АП
Бахамут, който в арабските легенди беше огромно морско чудовище, което помогна за поддържането на структурата, която държи земята, беше името, дадено от изследователите от BlackBerry на изключително заплашителна хакерска група. Изследователите смятат, че поради широката гама от различни цели, Бахамут е Advanced Persistent Threat (APT), който действа като наемник, нает от частни лица, корпорации или дори правителства. Друга характеристика в подкрепа на тази теория е невероятният достъп до ресурси, които хакерите трябва да имат, за да поддържат своите силно насочени и прецизно изработени атаки. Основният фокус на Бахамут е върху фишинг атаки, кражба на идентификационни данни и много необичайната за APT група дейност по разпространение на дезинформация.
Съдържание
Бахамут извършва фино настроени фишинг атаки
За своите фишинг атаки, Bahamut показва невероятно внимание към детайлите. Хакерите са насочени към конкретни лица и които наблюдават за продължителен период от време, който в някои случаи може да продължи повече от година. Хакерите също така показаха, че са способни да атакуват всички типове устройства. Bahamut е провел кампании, използващи персонализиран зловреден софтуер за Windows, както и е използвал различни уязвимости с нулев ден, докато последните им дейности са включвали атаки срещу мобилни телефони и устройства. Хакерите демонстрират дълбоки познания както за iOS, така и за Android. Те са успели да поставят девет заплашителни приложения директно в AppStore, докато цял набор от приложения за Android могат да им бъдат приписани чрез уникални пръстови отпечатъци, открити от изследователите на infosec. За да заобиколи някои от предпазните мерки, поставени от Apple и Google, Bahamut изработва официално изглеждащи уебсайтове, които включват Политика за поверителност и дори писмени Общи условия за всяко от приложенията. Всички приложения, разпространявани от Bahamut, имаха бекдор функционалност, но техните специфични възможности се различаваха от приложение до приложение. Като цяло наборът от заплашителни приложения може да поеме пълен контрол над компрометираното устройство. Нападателите биха могли да изброят типовете файлове, съхранявани на устройството, и да ексфилтрират всеки, който им хване окото. Освен това Бахамут може:
- Достъп до информация за устройството,
- Достъп до записи на разговори,
- Достъп до контакти,
- Достъп до записи на разговори и SMS съобщения
- Записвайте телефонни разговори,
- Записвайте видео и аудио,
- Проследяване на GPS местоположение.
Бахамут е отговорен за кампаниите за дезинформация
Другият аспект на заплашителни операции на Баахамут показва същото ниво на ангажираност и внимание към детайлите. Групата APT изработва пълни уебсайтове, посветени на разпространението на фалшива информация. За да ги направят по-легитимни, хакерите създават и фалшиви личности в социалните медии. Групата дори купи домейна на някога легитимен сайт за технологични новини, наречен Techsprouts, и го съживи, за да обслужва цяла гама от теми от геополитически и индустриални новини до статии за други хакерски групи или брокери за експлоатиране. Всички сътрудници на Techsporut са създали самоличности, като хакерите правят снимки на истински журналисти. Често срещана тема сред няколко от фалшивите уебсайтове на Бахамут е сикхският референдум през 2020 г., който е гореща тема в Индия от 2019 г.
Що се отнася до регионалните предпочитания, Бахамут е по-активен в регионите на Близкия изток и Южна Азия. Всъщност хакерите блокираха някои от изтеглянето на някои от техните заплашителни приложения, за да бъдат достъпни само за потребители в Обединените арабски емирства, докато други приложения бяха маскирани като приложения на тема Рамадан или свързани със сикхско сепаратистко движение.
Бахамут е добре финансиран
Bahamut успя да остане неоткрит за значителен период от време и докато някои от неговите дейности бяха подхванати от изследователи на infosec, те бяха приписани на различни хакерски групи като EHDevel, Windshift , Urpage и White Company. Причината, която е позволила на Bahamut да постигне такава оперативна сигурност, е значителното количество работа, която се влага във всяка кампания за атака и скоростта, с която се променя включената инфраструктура и инструменти за злонамерен софтуер. Също така няма прехвърляне между различните операции. Според изследователи на BlackBerry, нито един IP адрес или домейн от атаки на Windows не са били използвани за фишинг или мобилни кампании и обратно. Bahamut също така гарантира, че дейността му не е съсредоточена върху един доставчик на хостинг и в момента наема над 50 различни доставчици. Както посочват изследователите на киберсигурността, постигането на това изисква значителни усилия, време и достъп до ресурси.
