BAHAMUT APT

Bahamut, amely az arab nyelvben egy hatalmas tengeri szörny volt, amely segített a földet tartó szerkezet megtartásában, így nevezték el a BlackBerry kutatói egy rendkívül fenyegető hackercsoportot. A kutatók úgy vélik, hogy a különféle célpontok széles skálája miatt a Bahamut egy Advanced Persistent Threat (APT), amely magánszemélyek, vállalatok vagy akár kormányok által bérelt zsoldosként működik. Egy másik jellemző, amely alátámasztja ezt az elméletet, az a hihetetlen hozzáférés az erőforrásokhoz, amelyekkel a hackereknek rendelkezniük kell a célzott és precízen kidolgozott támadási kampányaik támogatásához. A Bahamut fő hangsúlya az adathalász támadásokra, a hitelesítő adatok ellopására és az APT csoport számára nagyon szokatlan dezinformáció terjesztésére összpontosít.

Bahamut finomhangolt adathalász támadásokat hajt végre

Az adathalász támadások miatt a Bahamut hihetetlen figyelmet fordít a részletekre. A hackerek meghatározott személyeket céloznak meg, és hosszú ideig megfigyelik, ami bizonyos esetekben akár egy évig is eltarthat. A hackerek azt is megmutatták, hogy minden eszköztípust képesek megtámadni. A Bahamut kampányokat folytatott egyedi tervezésű Windows kártevők felhasználásával, valamint különféle nulladik napi sebezhetőségeket használt ki, míg legutóbbi tevékenységeik mobiltelefonok és eszközök elleni támadásokat is tartalmaztak. A hackerek az iOS és az Android alapos ismeretéről tesznek tanúbizonyságot. Közvetlenül az AppStore-on kilenc fenyegető alkalmazást sikerült elhelyezniük, miközben az infosec kutatói által felfedezett egyedi ujjlenyomatok révén Android-alkalmazások egész sora köthető hozzájuk. Az Apple és a Google által bevezetett bizonyos óvintézkedések megkerülése érdekében a Bahamut hivatalos megjelenésű webhelyeket hoz létre, amelyek az egyes alkalmazásokhoz tartalmazzák az adatvédelmi szabályzatot, sőt írásos szolgáltatási feltételeket is. A Bahamut által terjesztett alkalmazások mindegyike rendelkezett hátsó ajtó funkcióval, de ezek specifikus képességei alkalmazásonként eltérőek voltak. Összességében a fenyegető alkalmazások készlete átveheti az irányítást a feltört eszköz felett. A támadók felsorolhatták az eszközön tárolt fájltípusokat, és kiszűrhetik azokat, amelyek megakadtak. Ezenkívül a Bahamut képes:

• Az eszköz információinak elérése,
• Hívásnyilvántartás elérése,
• Hozzáférés a névjegyekhez,
• Hozzáférés a hívásrekordokhoz és SMS-üzenetekhez
• Telefonhívások rögzítése,
• Videó és hang rögzítése,
• Kövesse nyomon a GPS helyét.

Bahamut felelős a dezinformációs kampányokért

Baahamut fenyegető hadműveleteinek másik aspektusa ugyanazt az elkötelezettséget és a részletekre való odafigyelést mutatja. Az APT csoport komplett webhelyeket készít a hamis információk terjesztésére. Hogy legitimebbé tegyék őket, a hackerek hamis közösségi média személyiségeket is készítenek. A csoport még a Techsprouts nevű, egykor legitim technológiai híroldal domainjét is megvásárolta, és újjáélesztette, hogy a geopolitikától és az iparági hírektől kezdve a más hackercsoportokról vagy kizsákmányoló brókerekről szóló cikkekig szolgáljon egy sor témát. A Techsporut közreműködői mind megalkották az azonosságot a hackerekkel, akik valódi újságírókat készítenek. A Bahamut számos hamis webhelye között gyakori téma a 2020-as szikh népszavazás, amely 2019 óta népszerű téma Indiában.

Ami a regionális preferenciákat illeti, a Bahamut aktívabb a közel-keleti és dél-ázsiai régiókban. Valójában a hackerek egyes régiókban zárolták egyes fenyegető alkalmazásuk letöltését, hogy csak az Egyesült Arab Emírségekben legyenek elérhetők, míg más alkalmazásokat Ramadán témájú alkalmazásoknak álcáztak, vagy egy szikh szeparatista mozgalomhoz kapcsolódtak.

Bahamut jól finanszírozott

Bahamut tudott maradni észrevétlen egy jelentős mennyiségű időt, és bár néhány tevékenységét is felvette után a INFOSEC kutatók voltak tulajdonított különböző hack csoportok, mint például EHDevel, WINDSHIFT , Urpage és a White Company. Az ok, amiért a Bahamut elérte ezt a működési biztonságot, az az, hogy minden egyes támadási kampányba rengeteg munkát fektetnek, és milyen sebességgel változtatják az érintett infrastruktúrát és a kártevő eszközöket. Szintén nincs átvitel a különböző műveletek között. A BlackBerry kutatói szerint a Windows-támadásokból származó IP-címeket vagy tartományokat nem használták fel adathalászathoz vagy mobilkampányokhoz, és fordítva. A Bahamut arról is gondoskodott, hogy tevékenysége ne egyetlen tárhelyszolgáltatóra összpontosuljon, és jelenleg több mint 50 különböző szolgáltatót alkalmaz. Amint a kiberbiztonsági kutatók rámutatnak, ennek elérése jelentős erőfeszítést, időt és erőforrásokhoz való hozzáférést igényel.