BAHAMUT APT

BAHAMUT APT Περιγραφή

Το Bahamut, το οποίο στην αραβική παράδοση ήταν ένα τεράστιο θαλάσσιο τέρας που βοήθησε στη στήριξη της δομής που κρατούσε τη γη, ήταν το όνομα που έδωσαν οι ερευνητές στο BlackBerry σε μια εξαιρετικά απειλητική ομάδα χάκερ. Οι ερευνητές πιστεύουν ότι λόγω του ευρέος φάσματος διαφορετικών στόχων, το Bahamut είναι μια προηγμένη επίμονη απειλή (APT) που λειτουργεί ως μισθοφόρος που προσλαμβάνεται από ιδιώτες, εταιρείες ή ακόμα και κυβερνήσεις. Ένα άλλο χαρακτηριστικό που υποστηρίζει αυτή τη θεωρία είναι η απίστευτη πρόσβαση σε πόρους που πρέπει να έχουν οι χάκερ για να υποστηρίξουν τις εξαιρετικά στοχευμένες και κατασκευασμένες με ακρίβεια καμπάνιες επίθεσης τους. Η κύρια εστίαση του Bahamut είναι στις επιθέσεις phishing, στην κλοπή διαπιστευτηρίων και στην πολύ ασυνήθιστη δραστηριότητα μιας ομάδας APT της διάδοσης παραπληροφόρησης.

Το Bahamut πραγματοποιεί βελτιωμένες επιθέσεις phishing

Για τις επιθέσεις phishing, η Bahamut επιδεικνύει απίστευτη προσοχή στη λεπτομέρεια. Οι χάκερ στοχεύουν συγκεκριμένα άτομα και παρατηρούν για μεγάλο χρονικό διάστημα που, σε ορισμένες περιπτώσεις, μπορεί να διαρκέσει για περισσότερο από ένα χρόνο. Οι χάκερ έχουν επίσης δείξει ότι είναι ικανοί να επιτεθούν σε όλους τους τύπους συσκευών. Η Bahamut έχει πραγματοποιήσει καμπάνιες χρησιμοποιώντας προσαρμοσμένο κακόβουλο λογισμικό Windows, καθώς και εκμεταλλεύεται διάφορα τρωτά σημεία zero-day, ενώ οι πρόσφατες δραστηριότητές τους αφορούσαν επιθέσεις κατά κινητών τηλεφώνων και συσκευών. Οι χάκερ επιδεικνύουν βαθιά γνώση τόσο του iOS όσο και του Android. Κατάφεραν να τοποθετήσουν εννέα απειλητικές εφαρμογές απευθείας στο AppStore, ενώ μια ολόκληρη σειρά εφαρμογών Android μπορεί να τους αποδοθεί μέσω μοναδικών δακτυλικών αποτυπωμάτων που ανακάλυψαν οι ερευνητές του infosec. Για να παρακάμψουν ορισμένες από τις διασφαλίσεις που έχουν τεθεί από την Apple και την Google, η Bahamut δημιουργεί ιστότοπους με επίσημη εμφάνιση που περιλαμβάνουν Πολιτικές Απορρήτου και ακόμη και γραπτούς Όρους Παροχής Υπηρεσιών για καθεμία από τις εφαρμογές. Όλες οι εφαρμογές που διανέμονται από την Bahamut είχαν λειτουργικότητα backdoor, αλλά οι συγκεκριμένες δυνατότητές τους διέφεραν από εφαρμογή σε εφαρμογή. Ως σύνολο, το σύνολο των απειλητικών εφαρμογών θα μπορούσε να αναλάβει τον πλήρη έλεγχο της παραβιασμένης συσκευής. Οι εισβολείς μπορούσαν να απαριθμήσουν τους τύπους αρχείων που ήταν αποθηκευμένοι στη συσκευή και να διηθήσουν όποιον τους τραβούσε το μάτι. Επιπλέον, το Bahamut μπορεί:

  • Πρόσβαση σε πληροφορίες συσκευής,
  • Πρόσβαση στα αρχεία κλήσεων,
  • Πρόσβαση στις επαφές,
  • Πρόσβαση στα αρχεία κλήσεων και στα μηνύματα SMS
  • Καταγραφή τηλεφωνικών κλήσεων,
  • Εγγραφή βίντεο και ήχου,
  • Παρακολούθηση τοποθεσίας GPS.

Η Μπαχαμούτ είναι υπεύθυνη για εκστρατείες παραπληροφόρησης

Η άλλη πτυχή των απειλητικών επιχειρήσεων του Baahamut δείχνει το ίδιο επίπεδο δέσμευσης και προσοχής στη λεπτομέρεια. Ο όμιλος APT δημιουργεί ολοκληρωμένους ιστότοπους αφιερωμένους στη διάδοση ψεύτικων πληροφοριών. Για να τους κάνουν πιο νόμιμους, οι χάκερ κατασκευάζουν επίσης ψεύτικες προσωπικότητες των μέσων κοινωνικής δικτύωσης. Η ομάδα αγόρασε ακόμη και τον τομέα ενός άλλοτε νόμιμου ιστότοπου τεχνολογικών ειδήσεων που ονομαζόταν Techsprouts και τον αναβίωσε για να εξυπηρετήσει μια ολόκληρη σειρά θεμάτων από γεωπολιτικές και ειδήσεις της βιομηχανίας έως άρθρα σχετικά με άλλες ομάδες χάκερ ή μεσίτες εκμετάλλευσης. Όλοι οι συνεργάτες του Techsporut έχουν δημιουργήσει ταυτότητες με τους χάκερ να φωτογραφίζουν πραγματικούς δημοσιογράφους. Ένα κοινό θέμα μεταξύ αρκετών από τους ψεύτικους ιστότοπους του Μπαχαμούτ είναι το δημοψήφισμα των Σιχ του 2020, το οποίο είναι ένα καυτό θέμα στην Ινδία από το 2019.

Όσον αφορά τις περιφερειακές προτιμήσεις, το Bahamut ήταν πιο ενεργό στις περιοχές της Μέσης Ανατολής και της Νότιας Ασίας. Στην πραγματικότητα, οι χάκερ έκλεισαν ορισμένους τη λήψη ορισμένων απειλητικών εφαρμογών τους για να είναι διαθέσιμη μόνο για χρήστες στα Ηνωμένα Αραβικά Εμιράτα, ενώ άλλες εφαρμογές μεταμφιέστηκαν ως εφαρμογές με θέμα το Ραμαζάνι ή συνδέθηκαν με ένα αυτονομιστικό κίνημα των Σιχ.

Το Bahamut είναι καλά χρηματοδοτούμενο

Το Bahamut μπόρεσε να παραμείνει απαρατήρητο για μεγάλο χρονικό διάστημα και ενώ ορισμένες από τις δραστηριότητές του εντοπίστηκαν από ερευνητές της infosec, αποδόθηκαν σε διαφορετικές ομάδες hack όπως οι EHDevel, Windshift , Urpage και White Company. Ο λόγος που επέτρεψε στην Bahamut να επιτύχει μια τέτοια λειτουργική ασφάλεια είναι ο σημαντικός όγκος εργασίας που καταβάλλεται σε κάθε εκστρατεία επίθεσης και η ταχύτητα με την οποία αλλάζει τη σχετική υποδομή και τα εργαλεία κακόβουλου λογισμικού. Επίσης, δεν υπάρχει μεταφορά μεταξύ διαφορετικών λειτουργιών. Σύμφωνα με ερευνητές του BlackBerry, δεν έχουν χρησιμοποιηθεί διευθύνσεις IP ή τομείς από επιθέσεις των Windows για phishing ή καμπάνιες για κινητές συσκευές και το αντίστροφο. Η Bahamut έχει επίσης εξασφαλίσει ότι η δραστηριότητά της δεν επικεντρώνεται σε έναν μόνο πάροχο φιλοξενίας και απασχολεί πάνω από 50 διαφορετικούς παρόχους επί του παρόντος. Όπως επισημαίνουν οι ερευνητές της κυβερνοασφάλειας, η επίτευξη αυτού απαιτεί σημαντική προσπάθεια, χρόνο και πρόσβαση σε πόρους.