BAHAMUT APT

BAHAMUT APT Aprašymas

Bahamutas, kuris arabų kalboje buvo milžiniškas jūros pabaisa, padėjęs palaikyti žemę laikančią struktūrą, buvo BlackBerry tyrėjų pavadinimas itin grėsmingai įsilaužėlių grupei. Tyrėjai mano, kad dėl daugybės skirtingų taikinių Bahamutas yra pažangi nuolatinė grėsmė (APT), kuri veikia kaip samdinys, kurį samdo privatūs asmenys, korporacijos ar net vyriausybės. Kitas šią teoriją patvirtinantis bruožas yra neįtikėtina prieiga prie išteklių, kuriuos turi turėti įsilaužėliai, kad galėtų palaikyti savo tikslingas ir tiksliai sukurtas atakų kampanijas. Bahamut daugiausia dėmesio skiria sukčiavimo išpuoliams, kredencialų vagystėms ir labai neįprastai APT grupės veiklai – dezinformacijos skleidimui.

Bahamut vykdo tiksliai suderintus sukčiavimo išpuolius

Dėl savo sukčiavimo atakų Bahamut demonstruoja neįtikėtiną dėmesį detalėms. Įsilaužėliai taikosi į konkrečius asmenis ir stebi juos ilgą laikotarpį, kuris kai kuriais atvejais gali trukti ilgiau nei metus. Įsilaužėliai taip pat parodė, kad jie gali atakuoti visų tipų įrenginius. Bahamut vykdė kampanijas, kuriose naudojo pagal užsakymą sukurtą Windows kenkėjišką programinę įrangą, taip pat išnaudojo įvairius nulinės dienos pažeidžiamumus, o pastaroji jų veikla buvo susijusi su atakomis prieš mobiliuosius telefonus ir įrenginius. Piratai demonstruoja gilias iOS ir Android žinias. Jiems pavyko tiesiogiai „AppStore“ patalpinti devynias grėsmingas programas, o daugybė „Android“ programų gali būti priskirtos joms pagal unikalius „infosec“ tyrėjų aptiktus pirštų atspaudus. Siekdami apeiti kai kurias „Apple“ ir „Google“ nustatytas apsaugos priemones, „Bahamut“ kuria oficialiai atrodančias svetaines, kuriose yra kiekvienos programos privatumo politika ir net rašytinės paslaugų teikimo sąlygos. Visos Bahamut platinamos programos turėjo galinių durų funkcionalumą, tačiau jų specifinės galimybės įvairiose programose skyrėsi. Apskritai grėsmingų programų rinkinys gali visiškai valdyti pažeistą įrenginį. Užpuolikai galėjo išvardyti įrenginyje saugomus failų tipus ir išfiltruoti visus, kurie patraukė jų dėmesį. Be to, Bahamut gali:

  • Prieiga prie įrenginio informacijos,
  • Prieiga prie skambučių įrašų,
  • Prieiga prie kontaktų,
  • Pasiekite skambučių įrašus ir SMS žinutes
  • Įrašyti telefono skambučius,
  • Įrašyti vaizdo ir garso įrašus,
  • Stebėkite GPS vietą.

Bahamutas yra atsakingas už dezinformacijos kampanijas

Kitas grėsmingų Baahamuto operacijų aspektas rodo tokio paties įsipareigojimo ir dėmesio detalėms lygį. APT grupė kuria visas svetaines, skirtas netikrai informacijai skleisti. Kad jie būtų teisėti, įsilaužėliai taip pat kuria netikras socialinės žiniasklaidos asmenybes. Grupė netgi nusipirko kažkada teisėtos technologijų naujienų svetainės „Techsprouts“ domeną ir atgaivino ją, kad aptarnautų daugybę temų nuo geopolitikos ir pramonės naujienų iki straipsnių apie kitas įsilaužėlių grupes ar išnaudojimo brokerius. Visi „Techsporut“ bendradarbiai sukūrė tapatybes su įsilaužėliais, fotografuojančiais tikrus žurnalistus. Dažna kai kurių suklastotų Bahamut svetainių tema yra 2020 m. sikhų referendumas, kuris Indijoje yra aktuali tema nuo 2019 m.

Kalbant apie regionines pirmenybes, Bahamutas buvo aktyvesnis Artimųjų Rytų ir Pietų Azijos regionuose. Tiesą sakant, įsilaužėliai užblokavo kai kurių grėsmingų programų atsisiuntimą, kad jos būtų pasiekiamos tik Jungtinių Arabų Emyratų naudotojams, o kitos programos buvo užmaskuotos kaip Ramadano temos programos arba susietos su sikhų separatistų judėjimu.

Bahamutas yra gerai finansuojamas

„Bahamut“ galėjo išlikti nepastebėtas ilgą laiką, ir nors kai kurias jos veiklas stebėjo infosec tyrinėtojai, ji buvo priskirta skirtingoms įsilaužėlių grupėms, tokioms kaip „EHDevel“, „ Windshift“ , „Urpage“ ir „White Company“. Priežastis, dėl kurios „Bahamut“ pavyko pasiekti tokį veikimo saugumą, yra tai, kad kiekvienai atakų kampanijai įdedama daug darbo ir greitis, kuriuo ji keičia susijusią infrastruktūrą ir kenkėjiškų programų įrankius. Taip pat nėra perkėlimo tarp skirtingų operacijų. „BlackBerry“ tyrėjų teigimu, jokie IP adresai ar domenai iš „Windows“ atakų nebuvo naudojami sukčiavimo ar mobiliųjų telefonų kampanijoms ir atvirkščiai. Bahamut taip pat užtikrino, kad jo veikla nebūtų sutelkta į vieną prieglobos paslaugų teikėją ir šiuo metu dirba daugiau nei 50 skirtingų paslaugų teikėjų. Kaip pažymi kibernetinio saugumo tyrinėtojai, norint tai pasiekti, reikia daug pastangų, laiko ir prieigos prie išteklių.