BAHAMUT APT

BAHAMUT APT Popis

Bahamut, který byl v arabštině tradicí gargantuovské mořské příšery, která pomáhala podporovat strukturu, která drží Zemi, byl název, který vědci z BlackBerry pojmenovali extrémně hrozivou hackerskou skupinou. Vědci se domnívají, že kvůli široké škále různých cílů je Bahamut Advanced Persistent Threat (APT), který funguje jako žoldák najatý soukromými osobami, korporacemi nebo dokonce vládami. Další charakteristikou podporující tuto teorii je neuvěřitelný přístup ke zdrojům, které hackeři musí mít k podpoře svých vysoce cílených a precizně vytvořených útočných kampaní. Bahamut se zaměřuje hlavně na phishingové útoky, krádeže pověřovacích listin a velmi neobvyklé pro aktivitu skupiny APT šíření dezinformací.

Bahamut provádí vyladěné phishingové útoky

U svých phishingových útoků zobrazuje Bahamut neuvěřitelnou pozornost věnovanou detailům. Hackeři se zaměřují na konkrétní jednotlivce a které sledují po delší dobu, která v některých případech může trvat déle než rok. Hackeři také prokázali, že jsou schopni napadnout všechny typy zařízení. Společnost Bahamut provedla kampaně využívající na míru vytvořený malware Windows a také zneužívala různé zranitelnosti nulového dne, zatímco jejich nedávné aktivity zahrnovaly útoky na mobilní telefony a zařízení. Hackeři prokazují hluboké znalosti iOS i Androidu. Podařilo se jim přímo umístit devět ohrožujících aplikací na AppStore, zatímco jim lze připsat celou řadu aplikací pro Android prostřednictvím jedinečných otisků prstů objevených výzkumníky infosec. Aby se vyhnula některým ochranným opatřením poskytovaným společnostmi Apple a Google, vytváří Bahamut oficiálně vypadající webové stránky, které obsahují zásady ochrany osobních údajů a dokonce i písemné podmínky služby pro každou z aplikací. Všechny aplikace distribuované společností Bahamut měly funkčnost backdooru, ale jejich specifické schopnosti se u jednotlivých aplikací lišily. Jako celek by sada ohrožujících aplikací mohla převzít úplnou kontrolu nad napadeným zařízením. Útočníci mohli vyjmenovat typy souborů uložené v zařízení a vyfiltrovat všechny, které jim padly do oka. Bahamut navíc může:

  • Přístup k informacím o zařízení,
  • Přístup k záznamům hovorů,
  • Přístup ke kontaktům,
  • Přístup k záznamům hovorů a SMS zprávám
  • Nahrávejte telefonní hovory,
  • Záznam videa a zvuku,
  • Sledujte polohu GPS.

Bahamut je odpovědný za dezinformační kampaně

Další aspekt ohrožujících operací Baahamutu ukazuje stejnou úroveň odhodlání a pozornosti k detailům. Skupina APT vyrábí kompletní webové stránky věnované šíření falešných informací. Aby byli hackeři legitimnější, vytvářejí také falešné osobnosti sociálních médií. Skupina dokonce koupila doménu kdysi legitimního technologického zpravodajského webu s názvem Techsprouts a oživila ji tak, aby sloužila celé řadě témat od geopolitiky a průmyslových zpráv až po články o jiných hackerských skupinách nebo zneužití makléřů. Přispěvatelé pro Techsporut mají vytvořenou identitu s hackery, kteří fotografují skutečné novináře. Společným tématem mezi několika falešnými webovými stránkami Bahamutu je sikhské referendum 2020, které je v Indii od roku 2019 horkým tématem.

Pokud jde o regionální preference, Bahamut byl aktivnější v regionech Středního východu a jižní Asie. Ve skutečnosti hackerská oblast zablokovala stahování některých z jejich ohrožujících aplikací, aby byly dostupné pouze pro uživatele ve Spojených arabských emirátech, zatímco jiné aplikace byly maskované jako aplikace s motivem ramadánu nebo spojené s sikhským separatistickým hnutím.

Bahamut je dobře financován

Bahamut byl schopen zůstat nezjištěný po značnou dobu a zatímco některé jeho aktivity byly využity výzkumníky infosec, byly přičítány různým hackerským skupinám, jako jsou EHDevel, Windshift , Urpage a White Company. Důvodem, který společnosti Bahamut umožnil dosáhnout takové provozní bezpečnosti, je značné množství práce vynaložené na každou útočnou kampaň a rychlost, s jakou mění příslušnou infrastrukturu a malwarové nástroje. Rovněž nedochází k přenosu mezi různými operacemi. Podle výzkumníků BlackBerry nebyly pro phishing nebo mobilní kampaně použity žádné IP adresy ani domény z útoků na Windows a naopak. Bahamut také zajistil, že jeho činnost není soustředěna na jediného poskytovatele hostingu a v současné době zaměstnává více než 50 různých poskytovatelů. Jak poukazují vědci v oblasti kybernetické bezpečnosti, dosažení tohoto cíle vyžaduje značné úsilí, čas a přístup ke zdrojům.