BAHAMUT APT

BAHAMUT APT Kuvaus

Bahamut, joka arabiaksi oli valtava merihirviö, joka auttoi tukemaan maata pitävää rakennetta, oli nimi, jonka BlackBerryn tutkijat antoivat erittäin uhkaavalle hakkeriryhmälle. Tutkijat uskovat, että Bahamut on edistyneiden pysyvien uhkien (Advanced Persistent Threat, APT) joukko, koska se toimii yksityishenkilöiden, yritysten tai jopa hallitusten palkkaamana palkkasoturina. Toinen ominaisuus, joka tukee tätä teoriaa, on uskomaton pääsy resursseille, jonka hakkereilla on oltava tukemaan tarkasti kohdennettuja ja tarkasti suunniteltuja hyökkäyskampanjoitaan. Bahamut keskittyy pääasiassa tietojenkalasteluyrityksiin, tunnistevarkauksiin ja erittäin epätavalliseen APT-ryhmän toimintaan disinformaation levittämisessä.

Bahamut suorittaa hienosäädettyjä phishing-hyökkäyksiä

Tietokalasteluhyökkäyksistään Bahamut osoittaa uskomattoman huomiota yksityiskohtiin. Hakkerit kohdistavat tiettyihin henkilöihin ja että he tarkkailevat pitkään, mikä joissakin tapauksissa voi kestää yli vuoden. Hakkerit ovat myös osoittaneet pystyvänsä hyökkäämään kaikkia laitetyyppejä vastaan. Bahamut on toteuttanut kampanjoita, jotka käyttävät räätälöityjä Windows-haittaohjelmia, sekä hyödyntänyt erilaisia nollapäivän haavoittuvuuksia, kun taas heidän viimeaikaiseen toimintaansa liittyy hyökkäyksiä matkapuhelimiin ja laitteisiin. Hakkerit osoittavat syvällistä tuntemusta sekä iOS: sta että Androidista. He ovat onnistuneet sijoittamaan yhdeksän uhkaavaa sovellusta suoraan AppStore-kauppaan, kun taas koko joukko Android-sovelluksia voidaan kohdistaa niihin infosec-tutkijoiden löytämien ainutlaatuisten sormenjälkien avulla. Ohittaakseen osan Applen ja Googlen asettamista suojatoimenpiteistä Bahamut kehittää virallisen näköisiä verkkosivustoja, jotka sisältävät tietosuojakäytännöt ja jopa kirjalliset käyttöehdot kullekin sovellukselle. Kaikilla Bahamutin jakamilla sovelluksilla oli takaoven toiminnot, mutta niiden erityisominaisuudet poikkesivat sovelluksesta toiseen. Kokonaisuutena uhkaavien sovellusten joukko voisi ottaa täydellisen hallinnan vaarantuneesta laitteesta. Hyökkääjät voisivat luetella laitteeseen tallennetut tiedostotyypit ja suodattaa kaikki heidän huomionsa saaneet. Lisäksi Bahamut voi:

  • Käyttää laitetietoja,
  • Käytä puhelutietueita,
  • Käytä yhteystietoja,
  • Käytä puhelutietueita ja tekstiviestejä
  • Tallenna puhelut,
  • Tallenna video ja ääni,
  • Seuraa GPS-sijaintia.

Bahamut on vastuussa disinformaatiokampanjoista

Baahamutin uhkaavien operaatioiden toinen näkökohta osoittaa samanlaista sitoutumista ja huomiota yksityiskohtiin. APT-ryhmä käsittelee täydellisiä verkkosivustoja, jotka on omistettu väärennetyn tiedon levittämiselle. Hakkerit tekevät laillisemmiksi myös väärennettyjä sosiaalisen median henkilöitä. Ryhmä osti jopa kerran laillisen Techsprouts-nimisen teknisen uutissivuston verkkotunnuksen ja elvytti sen palvelemaan monia aiheita geopoliitikasta ja teollisuuden uutisista artikkeleihin muista hakkereista tai hyödyntämään välittäjiä. Kaikilla Techsporutin avustajilla on identiteetti hakkereiden kanssa, jotka ottavat kuvia todellisista toimittajista. Yleinen aihe useiden Bahamutin väärennettyjen verkkosivustojen joukossa on vuoden 2020 sikhien kansanäänestys, joka on ollut Intiassa kuuma painike vuodesta 2019 lähtien.

Alueellisten mieltymysten osalta Bahamut on ollut aktiivisempi Lähi-idän ja Etelä-Aasian alueilla. Itse asiassa hakkerit lukitsivat joidenkin uhkaavien sovellusten lataamisen vain Yhdistyneiden arabiemiirikuntien käyttäjien saataville, kun taas muut sovellukset oli naamioitu Ramadan-aiheisiksi sovelluksiksi tai liitetty sikhien separatistiliikkeeseen.

Bahamut on hyvin rahoitettu

Bahamut pystyi pysymään huomaamattomana huomattavan pitkän ajan, ja vaikka tietoturvatutkijat valitsivat osan toiminnastaan, ne luokiteltiin eri hakkerointiryhmille, kuten EHDevel, Windshift , Urpage ja White Company. Syy, jonka ansiosta Bahamut on pystynyt saavuttamaan tällaisen operatiivisen turvallisuuden, on huomattava määrä työtä jokaisessa hyökkäyskampanjassa ja nopeus, jolla se muuttaa mukana olevaa infrastruktuuria ja haittaohjelmatyökaluja. Eri toimintojen välillä ei myöskään ole siirtoja. BlackBerry-tutkijoiden mukaan mitään Windows-hyökkäysten IP-osoitteita tai verkkotunnuksia ei ole käytetty tietojenkalasteluun tai mobiilikampanjoihin ja päinvastoin. Bahamut on myös varmistanut, että sen toiminta ei keskity yhteen palveluntarjoajaan ja että se työllistää tällä hetkellä yli 50 erilaista palveluntarjoajaa. Kuten kyberturvallisuuden tutkijat huomauttavat, tämän saavuttaminen vaatii huomattavia ponnisteluja, aikaa ja resurssien saatavuutta.