BAHAMUT APT

BAHAMUT APT Description

باهاموت، که در فرهنگ عربی یک هیولای دریایی غول‌پیکر بود که به حمایت از ساختاری که زمین را نگه می‌دارد کمک می‌کرد، نامی بود که محققان BlackBerry به یک گروه هکر بسیار تهدیدکننده داده بودند. محققان بر این باورند که با توجه به طیف گسترده ای از اهداف مختلف، باهاموت یک تهدید پایدار پیشرفته (APT) است که به عنوان یک مزدور استخدام شده توسط افراد خصوصی، شرکت ها یا حتی دولت ها عمل می کند. یکی دیگر از ویژگی های حمایت کننده از این نظریه، دسترسی باورنکردنی به منابعی است که هکرها باید برای حمایت از کمپین های حمله بسیار هدفمند و دقیق خود داشته باشند. تمرکز اصلی باهاموت بر حملات فیشینگ، سرقت اعتبار، و فعالیت بسیار غیرعادی برای یک گروه APT برای انتشار اطلاعات نادرست است.

باهاموت حملات فیشینگ با تنظیم دقیق انجام می دهد

برای حملات فیشینگ، باهاموت توجه فوق العاده ای به جزئیات نشان می دهد. هکرها افراد خاصی را هدف قرار می‌دهند و برای مدت طولانی مشاهده می‌کنند که در برخی موارد می‌تواند بیش از یک سال طول بکشد. هکرها همچنین نشان داده اند که قادر به حمله به انواع دستگاه ها هستند. باهاموت کمپین هایی را با استفاده از بدافزارهای ویندوزی سفارشی و همچنین از آسیب پذیری های مختلف روز صفر بهره برداری کرده است، در حالی که فعالیت های اخیر آنها شامل حملات علیه تلفن های همراه و دستگاه ها بوده است. هکرها دانش عمیقی از iOS و Android نشان می دهند. آنها موفق شده اند 9 برنامه تهدید کننده را مستقیماً در AppStore قرار دهند، در حالی که طیف گسترده ای از برنامه های Android را می توان از طریق اثر انگشت منحصر به فرد کشف شده توسط محققان infosec به آنها نسبت داد. برای دور زدن برخی از پادمان‌های اعمال شده توسط اپل و گوگل، باهاموت وب‌سایت‌هایی با ظاهر رسمی ایجاد می‌کند که شامل خط‌مشی‌های حفظ حریم خصوصی و حتی شرایط خدمات مکتوب برای هر یک از برنامه‌ها می‌شود. همه برنامه های توزیع شده توسط باهاموت دارای عملکرد درب پشتی بودند، اما قابلیت های خاص آنها از برنامه ای به برنامه دیگر متفاوت بود. به طور کلی، مجموعه ای از برنامه های کاربردی تهدید کننده می تواند کنترل کامل دستگاه در معرض خطر را در دست بگیرد. مهاجمان می‌توانستند انواع فایل‌های ذخیره شده در دستگاه را برشمارند و هر کدام را که توجه آن‌ها را جلب می‌کند، استخراج کنند. علاوه بر این، باهاموت می تواند:

  • دسترسی به اطلاعات دستگاه،
  • دسترسی به سوابق تماس،
  • دسترسی به مخاطبین،
  • دسترسی به سوابق تماس و پیامک
  • ضبط تماس های تلفنی،
  • ضبط ویدئو و صدا،
  • ردیابی موقعیت مکانی GPS

باهاموت مسئول کمپین های اطلاعات نادرست است

جنبه دیگر عملیات تهدیدآمیز باهاموت نشان دهنده همین میزان تعهد و توجه به جزئیات است. گروه APT وب سایت های کاملی را ایجاد می کند که به انتشار اطلاعات جعلی اختصاص داده شده است. برای مشروعیت بیشتر آنها، هکرها شخصیت های جعلی رسانه های اجتماعی را نیز می سازند. این گروه حتی دامنه یک سایت خبری فناوری قانونی به نام Techsprouts را خریداری کرد و آن را احیا کرد تا به طیف وسیعی از موضوعات از ژئوپلیتیک و اخبار صنعت گرفته تا مقالاتی درباره سایر گروه‌های هکر یا کارگزاران سوء استفاده کند. مشارکت کنندگان Techsporut همگی با هکرهایی که از روزنامه نگاران واقعی عکس می گیرند، هویتی ساخته اند. یک موضوع رایج در میان چندین وب سایت جعلی باهاموت، همه پرسی سیک ها در سال 2020 است که از سال 2019 به عنوان یک موضوع داغ در هند مطرح شده است.

در مورد ترجیحات منطقه ای، باهاموت در مناطق خاورمیانه و جنوب آسیا فعال تر بوده است. در واقع، هکرها دانلود برخی از برنامه‌های تهدیدآمیز خود را در منطقه قفل کردند تا فقط برای کاربران در امارات متحده عربی در دسترس باشد، در حالی که سایر برنامه‌ها به عنوان برنامه‌هایی با موضوع ماه رمضان پنهان شده بودند یا به یک جنبش جدایی‌طلب سیک مرتبط بودند.

باهاموت دارای بودجه خوبی است

باهاموت توانست برای مدت زمان قابل توجهی ناشناخته بماند و در حالی که برخی از فعالیت‌های آن توسط محققان infosec شناسایی شده بود، به گروه‌های هک مختلف مانند EHDevel، Windshift ، Urpage و White Company نسبت داده شد. دلیلی که باهاموت را قادر به دستیابی به چنین امنیت عملیاتی کرده است، کار قابل توجهی است که برای هر کمپین حمله و سرعت تغییر زیرساخت ها و ابزارهای بدافزار درگیر انجام می شود. همچنین هیچ انتقالی بین عملیات های مختلف وجود ندارد. به گفته محققان بلک بری، هیچ آدرس IP یا دامنه ای از حملات ویندوز برای فیشینگ یا کمپین های تلفن همراه و بالعکس استفاده نشده است. باهاموت همچنین اطمینان داده است که فعالیت خود بر روی یک ارائه دهنده میزبان متمرکز نیست و در حال حاضر بیش از 50 ارائه دهنده مختلف را استخدام می کند. همانطور که محققان امنیت سایبری اشاره می کنند، دستیابی به این امر مستلزم تلاش قابل توجه، زمان و دسترسی به منابع است.