BAHAMUT APT

BAHAMUT APT Beskrivelse

Bahamut, som på arabisk lore var et gigantisk sjømonster som bidro til å støtte strukturen som holder jorden, var navnet som ble gitt av forskerne ved BlackBerry til en ekstremt truende hackergruppe. Forskerne mener at på grunn av det store spekteret av forskjellige mål, er Bahamut en Advanced Persistent Threat (APT) som opererer som en leiesoldat ansatt av privatpersoner, selskaper eller til og med regjeringer. Et annet kjennetegn som støtter denne teorien er den utrolige tilgangen til ressurser som hackerne må ha for å støtte sine svært målrettede og presisjonsutformede angrepskampanjer. Bahamuts hovedfokus er på phishing-angrep, legitimasjonstyveri og det svært uvanlige for en APT-gruppeaktivitet med å spre desinformasjon.

Bahamut utfører finjusterte phishing-angrep

For sine phishing-angrep viser Bahamut utrolig oppmerksomhet på detaljer. Hackerne retter seg mot spesifikke individer og som de observerer i en lengre periode som i noen tilfeller kan vare i over ett år. Hackerne har også vist at de er i stand til å angripe alle enhetstyper. Bahamut har gjennomført kampanjer som bruker spesiallaget Windows-malware, samt utnyttet ulike nulldagssårbarheter, mens deres nylige aktiviteter har involvert angrep mot mobiltelefoner og enheter. Hackerne demonstrerer dyp kunnskap om både iOS og Android. De har klart å plassere ni truende applikasjoner på AppStore direkte, mens en hel rekke Android-applikasjoner kan tilskrives dem gjennom unike fingeravtrykk oppdaget av infosec-forskerne. For å omgå noen av sikkerhetstiltakene fra Apple og Google, lager Bahamut offisielle nettsteder som inkluderer retningslinjer for personvern og til og med skriftlige vilkår for bruk for hver av applikasjonene. Alle applikasjonene distribuert av Bahamut hadde bakdørsfunksjonalitet, men deres spesifikke evner var forskjellige fra applikasjon til applikasjon. Som helhet kan settet med truende applikasjoner ta full kontroll over den kompromitterte enheten. Angriperne kunne telle opp filtypene som er lagret på enheten og eksfiltrere alle som fanget oppmerksomheten deres. I tillegg kan Bahamut:

  • Få tilgang til enhetsinformasjon,
  • Få tilgang til samtaleoppføringer,
  • Få tilgang til kontakter,
  • Få tilgang til samtaleoppføringer og SMS-meldinger
  • Ta opp telefonsamtaler,
  • Ta opp video og lyd,
  • Spor GPS-posisjon.

Bahamut er ansvarlig for desinformasjonskampanjer

Det andre aspektet ved Baahamuts truende operasjoner viser samme nivå av engasjement og oppmerksomhet på detaljer. APT-gruppen lager komplette nettsteder dedikert til å spre falsk informasjon. For å gjøre dem mer legitime, lager hackerne også falske sosiale medier-personligheter. Gruppen kjøpte til og med domenet til et en gang legitimt teknisk nyhetsnettsted kalt Techsprouts og gjenopplivet det for å servere en hel rekke emner fra geopolitikk og industrinyheter til artikler om andre hackergrupper eller utnyttelsesmeglere. Bidragsyterne til Techsporut har alle laget identiteter med hackere som tar bilder av ekte journalister. Et vanlig tema blant flere av Bahamuts falske nettsteder er Sikh-folkeavstemningen i 2020, som har vært et populært tema i India siden 2019.

Når det gjelder regionale preferanser, har Bahamut vært mer aktiv i regionene i Midtøsten og Sør-Asia. Faktisk låste hackerne noen nedlastinger av noen av deres truende applikasjoner til kun å være tilgjengelige for brukere i De forente arabiske emirater, mens andre applikasjoner ble forkledd som applikasjoner med Ramadan-tema eller knyttet til en sikh-separatistbevegelse.

Bahamut er godt finansiert

Bahamut var i stand til å forbli uoppdaget i en betydelig mengde tid, og mens noen av aktivitetene ble plukket opp av infosec-forskere, ble de tilskrevet forskjellige hackgrupper som EHDevel, Windshift , Urpage og White Company. Årsaken som har gjort det mulig for Bahamut å oppnå slik operasjonssikkerhet er den betydelige mengden arbeid som legges ned i hver angrepskampanje og hastigheten som den endrer den involverte infrastrukturen og skadevareverktøyene. Det er heller ingen overføring mellom ulike operasjoner. Ifølge BlackBerry-forskere har ingen IP-adresser eller domener fra Windows-angrep blitt brukt til phishing- eller mobilkampanjer og omvendt. Bahamut har også sørget for at aktiviteten ikke er konsentrert om en enkelt vertsleverandør og sysselsetter over 50 forskjellige leverandører for tiden. Som cybersikkerhetsforskerne påpeker, krever det betydelig innsats, tid og tilgang på ressurser for å oppnå dette.