BAHAMUT APT

BAHAMUT APT Kirjeldus

Bahamut, mis araabia keeles oli hiiglaslik merekoletis, mis aitas toetada maad hoidvat struktuuri, olid BlackBerry teadlaste poolt antud nimi äärmiselt ähvardavale häkkerite rühmitusele. Teadlased usuvad, et erinevate sihtmärkide laia valiku tõttu on Bahamut arenenud püsiv oht (APT), mis töötab eraisikute, korporatsioonide või isegi valitsuste palgatud palgasõdurina. Teine seda teooriat toetav omadus on uskumatu juurdepääs ressurssidele, mis häkkeritel peab olema, et toetada nende sihitud ja täpselt välja töötatud rünnakukampaaniaid. Bahamut keskendub peamiselt andmepüügirünnakutele, volikirjade vargustele ja väga ebatavalisele APT grupi desinformatsiooni levitamise tegevusele.

Bahamut viib läbi peenhäälestatud andmepüügirünnakuid

Andmepüügirünnakute puhul näitab Bahamut uskumatut tähelepanu detailidele. Häkkerid on suunatud konkreetsetele isikutele ja neid jälgitakse pikema aja jooksul, mis mõnel juhul võib kesta üle aasta. Häkkerid on ka näidanud, et nad on võimelised ründama kõiki seadmetüüpe. Bahamut on läbi viinud kampaaniaid, mis kasutavad kohandatud Windowsi pahavara, ning on ära kasutanud mitmesuguseid nullipäeva haavatavusi, samas kui nende hiljutine tegevus on seotud rünnakutega mobiiltelefonide ja seadmete vastu. Häkkerid demonstreerivad sügavaid teadmisi nii iOS-ist kui ka Androidist. Neil on õnnestunud otse üheksa ähvardavat rakendust paigutada AppStore'i, samas kui infoseksiooni uurijate avastatud unikaalsete sõrmejälgede abil saab neile omistada terve rea Androidi rakendusi. Mõnest Apple'i ja Google'i tagatisest mööda minnes käsitleb Bahamut ametliku välimusega veebisaite, mis sisaldavad iga rakenduse privaatsuseeskirju ja isegi kirjalikke teenusetingimusi. Kõigil Bahamuti levitatavatel rakendustel oli tagaukse funktsioon, kuid nende spetsiifilised võimalused erinesid rakendustes. Tervikuna võib ähvardavate rakenduste kogum võtta ohustatud seadme üle täieliku kontrolli. Ründajad said üles lugeda seadmesse salvestatud failitüübid ja välja filtreerida kõik, mis neile silma jäid. Lisaks saab Bahamut:

  • Juurdepääs seadme teabele
  • Juurdepääs kõnede kirjetele,
  • Juurdepääs kontaktidele
  • Juurdepääs kõnerekorditele ja SMS-sõnumitele
  • Telefonikõnede salvestamine,
  • Salvestage video ja heli,
  • GPS-i asukoha jälgimine.

Bahamut vastutab desinformatsioonikampaaniate eest

Baahamuti ähvardavate operatsioonide teine aspekt näitab sama pühendumust ja tähelepanu detailidele. APT rühm valmistab võltsinfo levitamisele pühendatud veebisaite. Nende legitiimsemaks muutmiseks loovad häkkerid ka võltsitud sotsiaalmeedia isiksused. Grupp ostis isegi kunagise legitiimse tehnikauudiste saidi Techsprouts domeeni ja taaselustas selle, et pakkuda paljusid teemasid alates geopoliitikast ja tööstuse uudistest kuni artikliteni teiste häkkerite gruppide kohta või maaklerite ärakasutamiseks. Kõik Techsporuti kaastöötajad on loonud identiteedi häkkeritega, kes tegelikke ajakirjanikke pildistavad. Mitme Bahamuti võltsveebisaidi seas on levinud teema 2020. aasta sikhide rahvahääletus, mis on olnud Indias kuumaklahviline teema alates 2019. aastast.

Piirkondlike eelistuste osas on Bahamut olnud aktiivsem Lähis-Ida ja Lõuna-Aasia piirkondades. Tegelikult lukustasid häkkerid mõne oma ähvardava rakenduse allalaadimise nii, et see oleks saadaval ainult Araabia Ühendemiraatide kasutajatele, samal ajal kui teised rakendused olid varjatud Ramadani-teemalisteks rakendusteks või olid seotud sikhi separatistide liikumisega.

Bahamut on hästi rahastatud

Bahamut suutis märkimisväärse aja jooksul jääda avastamata ja kuigi infosek-teadlased võtsid osa selle tegevusest omaks, omistati need erinevatele häkkerühmadele nagu EHDevel, Windshift , Urpage ja White Company. Põhjus, mis on võimaldanud Bahamutil sellise operatiivse turvalisuse saavutada, on iga rünnakukampaania jaoks tehtud märkimisväärne töö ning kiirus, millega see kaasatud infrastruktuuri ja pahavara tööriistu muudab. Samuti ei toimu erinevate operatsioonide vahel ülekandmist. BlackBerry teadlaste sõnul pole andmepüügi- või mobiilikampaaniate jaoks vastupidi kasutatud Windowsi rünnakute IP-aadresse ega domeene. Bahamut on ka taganud, et tema tegevus ei ole koondunud ühele hostimise pakkujale ja töötab praegu üle 50 erineva pakkuja. Nagu küberjulgeoleku uurijad rõhutavad, nõuab selle saavutamine märkimisväärseid jõupingutusi, aega ja juurdepääsu ressurssidele.