BAHAMUT APT

BAHAMUT APT Description

Bahamut, que en la tradició àrab era un monstre marí enorme que va ajudar a suportar l'estructura que subjecta la terra, va ser el nom que van donar els investigadors de BlackBerry a un grup de pirates informàtics extremadament amenaçador. Els investigadors creuen que a causa de l'ampli ventall d'objectius diferents, Bahamut és una amenaça persistent avançada (APT) que opera com a mercenari contractat per particulars, corporacions o fins i tot governs. Una altra característica que recolza aquesta teoria és l'accés increïble als recursos que han de tenir els pirates informàtics per donar suport a les seves campanyes d'atac molt orientades i dissenyades amb precisió. El focus principal de Bahamut és els atacs de pesca, el robatori de credencials i l'activitat molt inusual d'un grup APT de difondre desinformació.

Bahamut porta a terme atacs de phishing afinats

Pels seus atacs de pesca, Bahamut mostra una atenció increïble als detalls. Els pirates informàtics es dirigeixen a individus concrets i que observen durant un període prolongat que, en alguns casos, pot durar més d'un any. Els pirates informàtics també han demostrat que són capaços d'atacar tots els tipus de dispositius. Bahamut ha dut a terme campanyes amb programari maliciós de Windows fet a mida, així com ha explotat diverses vulnerabilitats de dia zero, mentre que les seves activitats recents han implicat atacs contra telèfons mòbils i dispositius. Els pirates informàtics demostren un coneixement profund tant d'iOS com d'Android. Han aconseguit col·locar nou aplicacions amenaçadores directament a l'AppStore, mentre que se'ls pot atribuir tota una gamma d'aplicacions d'Android a través d'empremtes dactilars úniques descobertes pels investigadors de la Infosec. Per evitar algunes de les garanties posades per Apple i Google, Bahamut crea llocs web d'aspecte oficial que inclouen polítiques de privadesa i fins i tot Condicions de servei escrites per a cadascuna de les aplicacions. Totes les aplicacions distribuïdes per Bahamut tenien funcionalitat de porta posterior, però les seves capacitats específiques variaven d'una aplicació a una altra. En conjunt, el conjunt d'aplicacions amenaçadores podria prendre el control total sobre el dispositiu compromès. Els atacants podien enumerar els tipus de fitxer emmagatzemats al dispositiu i exfiltrar-ne qualsevol que els cridés l'atenció. A més, Bahamut pot:

  • Accedir a la informació del dispositiu,
  • Accedir als registres de trucades,
  • Accedir als contactes,
  • Accediu als registres de trucades i missatges SMS
  • Gravar trucades telefòniques,
  • Grava vídeo i àudio,
  • Seguiment de la ubicació GPS.

Bahamut és el responsable de les campanyes de desinformació

L'altre aspecte de les operacions amenaçadores de Baahamut mostra el mateix nivell de compromís i atenció als detalls. El grup APT crea llocs web complets dedicats a difondre informació falsa. Per fer-los més legítims, els pirates informàtics també creen personalitats falses de les xarxes socials. El grup fins i tot va comprar el domini d'un lloc de notícies tecnològics que abans era legítim anomenat Techsprouts i el va reviure per atendre una àmplia gamma de temes, des de notícies de geopolítica i de la indústria fins a articles sobre altres grups de pirates informàtics o corredors d'explotació. Tots els col·laboradors de Techspout han creat identitats amb els pirates informàtics fent fotos de periodistes reals. Un tema comú entre diversos llocs web falsos de Bahamut és el referèndum sikh del 2020, que ha estat un tema candent a l'Índia des del 2019.

Pel que fa a les preferències regionals, Bahamut ha estat més actiu a les regions d'Orient Mitjà i Àsia del Sud. De fet, els pirates informàtics van bloquejar algunes de les descàrregues d'algunes de les seves aplicacions amenaçadores perquè només estiguin disponibles per als usuaris dels Emirats Àrabs Units, mentre que altres aplicacions es van disfressar d'aplicacions temàtiques del Ramadà o vinculades a un moviment separatista sikh.

Bahamut està ben finançat

Bahamut va poder romandre sense ser detectat durant una quantitat considerable de temps i, tot i que algunes de les seves activitats van ser recollides pels investigadors d'infosec, es van atribuir a diferents grups de pirates com EHDevel, Windshift , Urpage i White Company. La raó que ha permès a Bahamut aconseguir aquesta seguretat operativa és la gran quantitat de treball que es dedica a cada campanya d'atac i la velocitat amb què canvia la infraestructura implicada i les eines de programari maliciós. Tampoc hi ha cap transferència entre diferents operacions. Segons els investigadors de BlackBerry, no s'ha utilitzat cap adreça IP ni domini dels atacs de Windows per a campanyes de pesca o mòbil i viceversa. Bahamut també s'ha assegurat que la seva activitat no es concentra en un únic proveïdor d'allotjament i actualment dóna feina a més de 50 proveïdors diferents. Com assenyalen els investigadors de ciberseguretat, aconseguir-ho requereix un esforç, temps i accés a recursos considerables.