BAHAMUT APT

BAHAMUT APT Descrizione

Bahamut, che nella tradizione araba era un gigantesco mostro marino che aiutava a sostenere la struttura che sostiene la terra, era il nome dato dai ricercatori di BlackBerry a un gruppo di hacker estremamente minaccioso. I ricercatori ritengono che, a causa dell'ampia gamma di obiettivi diversi, Bahamut sia una minaccia persistente avanzata (APT) che opera come un mercenario assunto da privati, aziende o persino governi. Un'altra caratteristica che supporta questa teoria è l'incredibile accesso alle risorse che gli hacker devono avere per supportare le loro campagne di attacco altamente mirate e di precisione. Bahamut si concentra principalmente su attacchi di phishing, furto di credenziali e attività molto insolite per un'attività del gruppo APT di diffusione di disinformazione.

Bahamut esegue attacchi di phishing ottimizzati

Per i suoi attacchi di phishing, Bahamut mostra un'incredibile attenzione ai dettagli. Gli hacker prendono di mira individui specifici e che osservano per un periodo prolungato che, in alcuni casi, può durare più di un anno. Gli hacker hanno anche dimostrato di essere in grado di attaccare tutti i tipi di dispositivi. Bahamut ha condotto campagne utilizzando malware Windows personalizzato, oltre a sfruttare varie vulnerabilità zero-day, mentre le loro attività recenti hanno comportato attacchi contro telefoni cellulari e dispositivi. Gli hacker dimostrano una profonda conoscenza sia di iOS che di Android. Sono riusciti a posizionare direttamente nove applicazioni minacciose sull'AppStore, mentre un'intera gamma di applicazioni Android può essere attribuita a loro attraverso impronte digitali uniche scoperte dai ricercatori di infosec. Per aggirare alcune delle misure di sicurezza poste da Apple e Google, Bahamut crea siti web dall'aspetto ufficiale che includono politiche sulla privacy e persino Termini di servizio scritti per ciascuna delle applicazioni. Tutte le applicazioni distribuite da Bahamut avevano funzionalità backdoor, ma le loro capacità specifiche differivano da applicazione a applicazione. Nel complesso, l'insieme di applicazioni minacciose potrebbe assumere il controllo completo sul dispositivo compromesso. Gli aggressori potrebbero enumerare i tipi di file memorizzati sul dispositivo ed esfiltrare quelli che hanno attirato la loro attenzione. Inoltre, Bahamut può:

  • Accedi alle informazioni sul dispositivo,
  • Accedi ai record delle chiamate,
  • Accedi ai contatti,
  • Accedi ai record delle chiamate e ai messaggi SMS
  • Registra telefonate,
  • Registra video e audio,
  • Traccia la posizione GPS.

Bahamut è responsabile delle campagne di disinformazione

L'altro aspetto delle minacciose operazioni di Baahamut mostra lo stesso livello di impegno e attenzione ai dettagli. Il gruppo APT realizza siti web completi dedicati alla diffusione di informazioni false. Per renderli più legittimi, gli hacker creano anche false personalità dei social media. Il gruppo ha persino acquistato il dominio di un sito di notizie tecnologiche un tempo legittimo chiamato Techsprouts e lo ha rianimato per fornire un'ampia gamma di argomenti, dalla geopolitica e dalle notizie del settore agli articoli su altri gruppi di hacker o broker di exploit. Tutti i collaboratori di Techsporut hanno creato identità con gli hacker che scattano foto a giornalisti reali. Un argomento comune tra molti dei falsi siti Web di Bahamut è il referendum Sikh del 2020, che è stato un argomento caldo in India dal 2019.

Per quanto riguarda le preferenze regionali, Bahamut è stato più attivo nelle regioni del Medio Oriente e dell'Asia meridionale. In effetti, gli hacker hanno bloccato alcuni dei download di alcune delle loro minacciose applicazioni in modo che fossero disponibili solo per gli utenti negli Emirati Arabi Uniti, mentre altre applicazioni erano camuffate da applicazioni a tema Ramadan o collegate a un movimento separatista sikh.

Bahamut è ben finanziato

Bahamut è stato in grado di rimanere inosservato per un considerevole periodo di tempo e, sebbene alcune delle sue attività siano state rilevate dai ricercatori di infosec, sono state attribuite a diversi gruppi di hacker come EHDevel, Windshift , Urpage e la White Company. Il motivo che ha consentito a Bahamut di raggiungere tale sicurezza operativa è la notevole mole di lavoro che viene posta in ciascuna campagna di attacco e la velocità con cui cambia l'infrastruttura e gli strumenti malware coinvolti. Non vi è inoltre alcun riporto tra le diverse operazioni. Secondo i ricercatori BlackBerry, nessun indirizzo IP o dominio da attacchi di Windows è stato utilizzato per campagne di phishing o mobili e viceversa. Bahamut ha inoltre assicurato che la sua attività non si concentra su un singolo provider di hosting e impiega attualmente oltre 50 provider diversi. Come sottolineano i ricercatori sulla sicurezza informatica, raggiungere questo obiettivo richiede uno sforzo, tempo e accesso alle risorse considerevoli.