BAHAMUT APT

BAHAMUT APT Beskrivelse

Bahamut, som i arabisk historie var et gigantisk havmonster, der hjalp med at understøtte strukturen, der holder jorden, blev navnet givet af forskerne ved BlackBerry til en ekstremt truende hackergruppe. Forskerne mener, at Bahamut på grund af den brede vifte af forskellige mål er en avanceret vedvarende trussel (APT), der fungerer som en lejesoldat, der er ansat af private, virksomheder eller endda regeringer. Et andet kendetegn, der understøtter denne teori, er den utrolige adgang til ressourcer, som hackerne skal have for at understøtte deres stærkt målrettede og præcisionsudformede angrebskampagner. Bahamut fokuserer primært på phishing-angreb, legitimationstyveri og det meget usædvanlige for en APT-gruppeaktivitet med spredning af desinformation.

Bahamut udfører finjusterede phishingangreb

For sine phishing-angreb viser Bahamut utrolig opmærksomhed på detaljer. Hackerne målretter mod specifikke personer, og at de observerer i en længere periode, som i nogle tilfælde kan vare i over et år. Hackerne har også vist, at de er i stand til at angribe alle enhedstyper. Bahamut har gennemført kampagner, der anvender skræddersyet Windows-malware, samt udnyttet forskellige nul-dags sårbarheder, mens deres nylige aktiviteter har involveret angreb mod mobiltelefoner og enheder. Hackerne demonstrerer dyb viden om både iOS og Android. De har formået at placere ni truende applikationer direkte på AppStore, mens en hel række Android-applikationer kan tilskrives dem gennem unikke fingeraftryk opdaget af infosec-forskerne. For at omgå nogle af de sikkerhedsforanstaltninger, der er placeret af Apple og Google, udarbejder Bahamut officielt udseende websteder, der inkluderer fortrolighedspolitikker og endda skriftlige servicevilkår for hver af applikationerne. Alle de applikationer, der blev distribueret af Bahamut, havde bagdørsfunktionalitet, men deres specifikke kapacitet varierede fra applikation til applikation. Som helhed kan sæt truende applikationer tage fuld kontrol over den kompromitterede enhed. Angriberne kunne tælle de filtyper, der er gemt på enheden, og exfiltrere alle, der fangede deres øje. Derudover kan Bahamut:

  • Få adgang til enhedsoplysninger,
  • Få adgang til opkaldsposter,
  • Få adgang til kontakter,
  • Få adgang til opkaldsposter og SMS-beskeder
  • Optag telefonopkald,
  • Optag video og lyd,
  • Spor GPS-placering.

Bahamut er ansvarlig for desinformationskampagner

Det andet aspekt af Baahamuts truende operationer viser det samme niveau af engagement og opmærksomhed for detaljer. APT-gruppen laver komplette hjemmesider dedikeret til spredning af falske oplysninger. For at gøre dem mere legitime udformer hackerne også falske sociale medier. Gruppen købte endda domænet på et engang legitimt tech-nyhedswebsted kaldet Techsprouts og genoplivet det for at tjene en hel række emner fra geopolitik og nyheder i industrien til artikler om andre hacker-grupper eller udnytte mæglere. Bidragerne til Techsporut har alle udformet identitet med hackerne, der tager billeder af rigtige journalister. Et almindeligt emne blandt flere af Bahamuts falske websteder er 2020 Sikh-folkeafstemning, som har været et hot-button-emne i Indien siden 2019.

Med hensyn til regionale præferencer har Bahamut været mere aktiv i Mellemøsten og Sydasien. Faktisk låste hackerne nogle af downloadene af nogle af deres truende applikationer, så de kun var tilgængelige for brugere i De Forenede Arabiske Emirater, mens andre applikationer blev forklædt som Ramadan-temaapplikationer eller knyttet til en sikh separatistisk bevægelse.

Bahamut er godt finansieret

Bahamut var i stand til at forblive uopdaget i lang tid, og mens nogle af dens aktiviteter blev opsamlet af infosec-forskere, blev de tilskrevet forskellige hackgrupper som EHDevel, Windshift , Urpage og White Company. Årsagen, der har gjort det muligt for Bahamut at opnå en sådan operationel sikkerhed, er den betydelige mængde arbejde, der lægges i hver angrebskampagne og den hastighed, hvormed den ændrer den involverede infrastruktur og malware-værktøjer. Der er heller ingen overførsel mellem forskellige operationer. Ifølge BlackBerry-forskere er der ikke brugt nogen IP-adresser eller domæner fra Windows-angreb til phishing- eller mobilkampagner og omvendt. Bahamut har også sikret, at dets aktivitet ikke er koncentreret om en enkelt hostingudbyder og i øjeblikket beskæftiger over 50 forskellige udbydere. Som cybersikkerhedsforskerne påpeger, kræver det en betydelig indsats, tid og adgang til ressourcer for at opnå dette.