BAHAMUT APT

Bahamut, שבשפה הערבית הייתה מפלצת ים ענקית שעזרה לתמוך במבנה המחזיק את כדור הארץ, היה השם שנתנו החוקרים ב-BlackBerry לקבוצת האקרים מאיימת ביותר. החוקרים מאמינים כי בשל המגוון הרחב של מטרות שונות, Bahamut היא איום מתמשך מתקדם (APT) הפועל כשכיר חרב שנשכר על ידי אנשים פרטיים, תאגידים או אפילו ממשלות. מאפיין נוסף התומך בתיאוריה הזו הוא הגישה המדהימה למשאבים שחייבים להיות להאקרים כדי לתמוך בקמפיינים הממוקדים והמדויקים שלהם להתקפה. ההתמקדות העיקרית של Bahamut היא בהתקפות דיוג, גניבת אישורים והדבר החריג מאוד עבור פעילות קבוצת APT של הפצת דיסאינפורמציה.

Bahamut מבצעת התקפות דיוג מעודנות

בהתקפות הדיוג שלה, Bahamut מציגה תשומת לב מדהימה לפרטים. ההאקרים מכוונים לאנשים ספציפיים ושהם מתבוננים במשך תקופה ממושכת שבמקרים מסוימים יכולה להימשך יותר משנה. ההאקרים גם הראו שהם מסוגלים לתקוף את כל סוגי המכשירים. Bahamut ביצעה קמפיינים המשתמשים בתוכנה זדונית של Windows בהתאמה אישית, וכן ניצלה נקודות תורפה שונות של יום אפס, בעוד שהפעילויות האחרונות שלהם כללו התקפות נגד טלפונים ניידים ומכשירים. ההאקרים מפגינים ידע עמוק הן ב-iOS והן באנדרואיד. הם הצליחו להציב תשע אפליקציות מאיימות ישירות ב-AppStore, בעוד שמגוון שלם של אפליקציות אנדרואיד ניתן לייחס להם באמצעות טביעות אצבע ייחודיות שגילו חוקרי infosec. כדי לעקוף חלק מאמצעי ההגנה שהציבו אפל וגוגל, Bahamut מייצרת אתרים בעלי מראה רשמי הכוללים מדיניות פרטיות ואפילו תנאים והגבלות כתובים עבור כל אחת מהאפליקציות. לכל היישומים המופצים על ידי Bahamut היו פונקציונליות של דלת אחורית, אך היכולות הספציפיות שלהם היו שונות מאפליקציה לאפליקציה. ככלל, קבוצת היישומים המאיימים יכולה להשתלט על המכשיר שנפרץ. התוקפים יכלו למנות את סוגי הקבצים המאוחסנים במכשיר ולחלץ כל מה שתפס את עיניהם. בנוסף, Bahamut יכולה:

• גישה למידע על המכשיר,
• גישה לרישומי שיחות,
• גישה לאנשי קשר,
• גישה לרישומי שיחות והודעות SMS
• להקליט שיחות טלפון,
• הקלט וידאו ואודיו,
• עקוב אחר מיקום GPS.

בהמות אחראית על מסעות פרסום דיסאינפורמציה

ההיבט השני של המבצעים המאיימים של באחמות מציג את אותה רמת מחויבות ותשומת לב לפרטים. קבוצת APT מייצרת אתרי אינטרנט שלמים המוקדשים להפצת מידע מזויף. כדי להפוך אותם לגיטימיים יותר, ההאקרים גם יוצרים אישים מזויפים של מדיה חברתית. הקבוצה אפילו קנתה את התחום של אתר חדשות טכנולוגי לגיטימי שנקרא Techsprouts והחיתה אותו כדי לשרת מגוון שלם של נושאים, החל מגיאופוליטיקה וחדשות בתעשייה ועד למאמרים על קבוצות האקרים אחרות או מתווכים מנצלים. התורמים ל-Techsporut כולם יצרו זהויות עם ההאקרים שמצלמים תמונות של עיתונאים אמיתיים. נושא נפוץ בין כמה מהאתרים המזויפים של בהמוט הוא משאל העם הסיקים לשנת 2020, שהיה נושא עם כפתורים חמים בהודו מאז 2019.

באשר להעדפות אזוריות, בהמוט הייתה פעילה יותר באזורי המזרח התיכון ודרום אסיה. למעשה, ההאקרים נעלו באזור חלק מההורדה של חלק מהאפליקציות המאיימות שלהם כך שיהיו זמינות רק למשתמשים באיחוד האמירויות הערביות בעוד אפליקציות אחרות היו מוסוות ליישומים בנושא הרמדאן או מקושרות לתנועה בדלנית סיקית.

Bahamut ממומנת היטב

Bahamut הצליחה להישאר ללא זיהוי במשך זמן רב, ובעוד שחלק מפעילויותיה נאספו על ידי חוקרי infosec, הן יוחסו לקבוצות פריצה שונות כמו EHDevel, Windshift , Urpage וה-White Company. הסיבה שאפשרה ל-Bahamut להשיג אבטחה תפעולית כזו היא כמות העבודה הרבה שמושקעת בכל קמפיין תקיפה והמהירות שבה הוא משנה את התשתית המעורבות וכלי תוכנות זדוניות. אין גם העברה בין פעולות שונות. לפי חוקרי BlackBerry, לא נעשה שימוש בכתובות IP או דומיינים מהתקפות של Windows עבור קמפיינים דיוגים או ניידים ולהפך. Bahamut גם הבטיחה שהפעילות שלה לא תתרכז בספק אירוח אחד ומעסיקה למעלה מ-50 ספקים שונים כיום. כפי שמציינים חוקרי אבטחת הסייבר, השגת זאת דורשת מאמץ ניכר, זמן וגישה למשאבים.