BAHAMUT APT

BAHAMUT APT Opis

Bahamut, koji je na arapskom jeziku bio ogromno morsko čudovište koje je pomoglo podržati strukturu koja drži zemlju, bili su naziv koji su istraživači s BlackBerryja dali izuzetno prijetećoj hakerskoj grupi. Istraživači vjeruju da je zbog širokog raspona različitih ciljeva Bahamut napredna uporna prijetnja (APT) koja djeluje kao plaćenik kojeg unajmljuju privatne osobe, korporacije ili čak vlade. Još jedna karakteristika koja podupire ovu teoriju je nevjerojatan pristup resursima koje hakeri moraju imati da bi podržali svoje visoko ciljane i precizno izrađene napadne kampanje. Bahamut se uglavnom fokusira na phishing napade, krađu vjerodajnica i vrlo neobičnu aktivnost APT-a na širenju dezinformacija.

Bahamut izvodi fino podešene phishing napade

Zbog svojih phishing napada, Bahamut pokazuje nevjerojatnu pažnju prema detaljima. Hakeri ciljaju određene osobe i oni ih promatraju dulje vrijeme koje, u nekim slučajevima, može trajati i više od godinu dana. Hakeri su također pokazali da su sposobni napasti sve vrste uređaja. Bahamut je proveo kampanje u kojima je korišten posebno izrađeni malware za Windows, kao i iskorištavao razne ranjivosti nultog dana, dok su njihove nedavne aktivnosti uključivale napade na mobitele i uređaje. Hakeri pokazuju duboko poznavanje iOS-a i Androida. Uspjeli su izravno smjestiti devet prijetećih aplikacija na AppStore, dok im se čitav niz Android aplikacija može pripisati putem jedinstvenih otisaka prstiju koje su otkrili istraživači infosec-a. Kako bi zaobišao neke zaštitne mjere koje su postavili Apple i Google, Bahamut izrađuje web stranice službenog izgleda koje uključuju Pravila o privatnosti i čak napisane Uvjete pružanja usluge za svaku od aplikacija. Sve aplikacije koje je distribuirao Bahamut imale su pozadinsku funkcionalnost, ali njihove su se specifične mogućnosti razlikovale od aplikacije do aplikacije. U cjelini, skup prijetećih aplikacija mogao bi preuzeti potpunu kontrolu nad ugroženim uređajem. Napadači su mogli nabrojati tipove datoteka pohranjene na uređaju i izbaciti sve one koji su im zapeli za oko. Uz to, Bahamut može:

  • Pristup informacijama o uređaju,
  • Pristup zapisima poziva,
  • Pristup kontaktima,
  • Pristup zapisima poziva i SMS porukama
  • Snimanje telefonskih poziva,
  • Snimite video i audio,
  • Pratite GPS lokaciju.

Bahamut je odgovoran za kampanje dezinformacija

Drugi aspekt prijetećih operacija Baahamuta pokazuje istu razinu predanosti i pažnje prema detaljima. Grupa APT izrađuje web stranice posvećene širenju lažnih informacija. Kako bi ih učinili legitimnijima, hakeri također izrađuju lažne osobnosti na društvenim mrežama. Skupina je čak kupila domenu nekoć legitimne web stranice s vijestima o tehnologiji nazvanu Techsprouts i oživjela je da posluži čitav niz tema, od geopolitike i vijesti iz industrije do članaka o drugim hakerskim skupinama ili iskorištavanju brokera. Svi suradnici Techsporuta imaju izmišljeni identitet s hakerima koji slikaju prave novinare. Uobičajena tema nekoliko Bahamutovih lažnih web stranica je Referendum Sikh za 2020. godinu, koji je u Indiji hitna tema od 2019.

Što se tiče regionalnih preferencija, Bahamut je bio aktivniji u regijama Bliskog Istoka i Južne Azije. Zapravo, hakeri su nekim regijama zaključali preuzimanje nekih svojih prijetećih aplikacija kako bi bili dostupni samo korisnicima u Ujedinjenim Arapskim Emiratima, dok su druge aplikacije bile maskirane u programe tematike ramazana ili povezane sa sikhskim separatističkim pokretom.

Bahamut se dobro financira

Bahamut je mogao ostati neotkriven znatan vremenski period, a iako su neke od njegovih aktivnosti uhvatili istraživači infosec-a, pripisani su različitim hack skupinama kao što su EHDevel, Windshift , Urpage i White Company. Razlog koji je omogućio Bahamutu da postigne takvu operativnu sigurnost je značajan rad koji se ulaže u svaku kampanju napada i brzina kojom mijenja uključenu infrastrukturu i alate zlonamjernog softvera. Također nema prijenosa između različitih operacija. Prema istraživačima BlackBerryja, nijedna IP adresa ili domena Windows napada nisu korištene za krađu identiteta ili mobilne kampanje i obrnuto. Bahamut je također osigurao da njegova aktivnost nije koncentrirana na jednog pružatelja usluga hostinga i trenutno zapošljava preko 50 različitih pružatelja usluga. Kako ističu istraživači kibernetičke sigurnosti, postizanje ovog zahtjeva znatan napor, vrijeme i pristup resursima.