BAHAMUT APT

BAHAMUT APT Description

Bahamut, yang dalam tradisi Arab adalah raksasa laut yang sangat besar yang membantu menyokong struktur yang menahan bumi, adalah nama yang diberikan oleh penyelidik di BlackBerry kepada kumpulan penggodam yang sangat mengancam. Para penyelidik percaya bahawa disebabkan oleh pelbagai sasaran yang berbeza, Bahamut ialah Ancaman Berterusan Lanjutan (APT) yang beroperasi sebagai askar upahan yang diupah oleh individu persendirian, syarikat atau kerajaan. Ciri lain yang menyokong teori ini ialah akses luar biasa kepada sumber yang mesti dimiliki oleh penggodam untuk menyokong kempen serangan mereka yang sangat disasarkan dan direka dengan tepat. Fokus utama Bahamut adalah pada serangan pancingan data, kecurian bukti kelayakan dan aktiviti kumpulan APT yang sangat luar biasa untuk menyebarkan maklumat yang salah.

Bahamut Menjalankan Serangan Phishing yang Ditala Halus

Untuk serangan pancingan datanya, Bahamut mempamerkan perhatian yang luar biasa terhadap perincian. Penggodam menyasarkan individu tertentu dan mereka memerhati untuk tempoh yang panjang, dalam beberapa kes, boleh bertahan selama lebih setahun. Penggodam juga telah menunjukkan bahawa mereka mampu menyerang semua jenis peranti. Bahamut telah menjalankan kempen menggunakan perisian hasad Windows rekaan tersuai, serta mengeksploitasi pelbagai kerentanan sifar hari, manakala aktiviti terbaru mereka melibatkan serangan terhadap telefon mudah alih dan peranti. Penggodam menunjukkan pengetahuan mendalam tentang kedua-dua iOS dan Android. Mereka telah berjaya meletakkan sembilan aplikasi yang mengancam di AppStore secara langsung, manakala seluruh rangkaian aplikasi Android boleh dikaitkan dengan mereka melalui cap jari unik yang ditemui oleh penyelidik infosec. Untuk memintas beberapa perlindungan yang diletakkan oleh Apple dan Google, Bahamut membuat tapak web yang kelihatan rasmi yang termasuk Dasar Privasi dan juga Syarat Perkhidmatan bertulis untuk setiap aplikasi. Semua aplikasi yang diedarkan oleh Bahamut mempunyai fungsi pintu belakang, tetapi keupayaan khusus mereka berbeza dari aplikasi ke aplikasi. Secara keseluruhannya, set aplikasi yang mengancam boleh mengambil kawalan sepenuhnya ke atas peranti yang terjejas. Penyerang boleh menyenaraikan jenis fail yang disimpan pada peranti dan mengeluarkan mana-mana yang menarik perhatian mereka. Di samping itu, Bahamut boleh:

  • Akses maklumat peranti,
  • Akses rekod panggilan,
  • Akses kenalan,
  • Akses rekod panggilan dan mesej SMS
  • Rakam panggilan telefon,
  • Rakam video dan audio,
  • Jejaki lokasi GPS.

Bahamut Bertanggungjawab untuk Kempen Penyelewengan Maklumat

Aspek lain operasi mengancam Baahamut menunjukkan tahap komitmen dan perhatian yang sama terhadap perincian. Kumpulan APT menghasilkan laman web yang lengkap khusus untuk menyebarkan maklumat palsu. Untuk menjadikannya lebih sah, penggodam juga mencipta personaliti media sosial palsu. Kumpulan itu juga membeli domain tapak berita teknologi yang pernah sah bernama Techsprouts dan menghidupkannya semula untuk menyampaikan pelbagai topik daripada geopolitik dan berita industri kepada artikel tentang kumpulan penggodam lain atau broker eksploitasi. Penyumbang untuk Techsporut semuanya telah mencipta identiti dengan penggodam yang mengambil gambar wartawan sebenar. Topik biasa di kalangan beberapa laman web palsu Bahamut ialah Referendum Sikh 2020, yang telah menjadi topik hangat di India sejak 2019.

Bagi keutamaan serantau, Bahamut telah lebih aktif di kawasan Timur Tengah dan Asia Selatan. Malah, kawasan penggodam telah mengunci beberapa muat turun beberapa aplikasi mengancam mereka untuk hanya tersedia untuk pengguna di Emiriah Arab Bersatu manakala aplikasi lain menyamar sebagai aplikasi bertemakan Ramadan atau dikaitkan dengan gerakan pemisah Sikh.

Bahamut Dibiayai dengan Baik

Bahamut dapat kekal tidak dapat dikesan untuk tempoh yang agak lama, dan sementara beberapa aktivitinya telah diambil oleh penyelidik infosec, mereka dikaitkan dengan kumpulan penggodaman yang berbeza seperti EHDevel, Windshift , Urpage dan Syarikat Putih. Sebab yang membolehkan Bahamut mencapai keselamatan operasi sedemikian ialah banyak kerja yang dilakukan dalam setiap kempen serangan dan kelajuan ia mengubah infrastruktur yang terlibat dan alatan perisian hasad. Juga tiada pemindahan antara operasi yang berbeza. Menurut penyelidik BlackBerry, tiada alamat IP atau domain daripada serangan Windows telah digunakan untuk pancingan data atau kempen mudah alih dan sebaliknya. Bahamut juga telah memastikan bahawa aktivitinya tidak tertumpu pada satu penyedia pengehosan dan menggunakan lebih 50 penyedia yang berbeza pada masa ini. Seperti yang dinyatakan oleh penyelidik keselamatan siber, untuk mencapai ini memerlukan usaha, masa dan akses yang besar kepada sumber.