BAHAMUT APT
Bahamut, in de Arabische overlevering een gigantisch zeemonster dat de structuur van de aarde hielp ondersteunen, was de naam die de onderzoekers van BlackBerry gaven aan een uiterst bedreigende hackergroep. De onderzoekers zijn van mening dat Bahamut vanwege het brede scala aan verschillende doelen een Advanced Persistent Threat (APT) is die opereert als een huurling die wordt ingehuurd door particulieren, bedrijven of zelfs regeringen. Een ander kenmerk dat deze theorie ondersteunt, is de ongelooflijke toegang tot middelen die de hackers nodig hebben om hun zeer gerichte en nauwkeurig ontworpen aanvalscampagnes te ondersteunen. Bahamut richt zich voornamelijk op phishingaanvallen, diefstal van inloggegevens en het zeer ongebruikelijke voor een APT-groepsactiviteit om desinformatie te verspreiden.
Inhoudsopgave
Bahamut voert verfijnde phishing-aanvallen uit
Bahamut toont voor zijn phishing-aanvallen ongelooflijke aandacht voor detail. De hackers richten zich op specifieke individuen en die observeren gedurende een langere periode die in sommige gevallen meer dan een jaar kan duren. De hackers hebben ook laten zien dat ze in staat zijn om alle apparaattypes aan te vallen. Bahamut heeft campagnes gevoerd met op maat gemaakte Windows-malware en maakte gebruik van verschillende zero-day-kwetsbaarheden, terwijl hun recente activiteiten aanvallen op mobiele telefoons en apparaten inhielden. De hackers tonen een grondige kennis van zowel iOS als Android. Ze zijn erin geslaagd om negen bedreigende applicaties rechtstreeks in de AppStore te plaatsen, terwijl een hele reeks Android-applicaties aan hen kan worden toegeschreven via unieke vingerafdrukken die door de infosec-onderzoekers zijn ontdekt. Om enkele van de voorzorgsmaatregelen van Apple en Google te omzeilen, maakt Bahamut officieel ogende websites met privacybeleid en zelfs schriftelijke servicevoorwaarden voor elk van de applicaties. Alle door Bahamut gedistribueerde applicaties hadden backdoor-functionaliteit, maar hun specifieke mogelijkheden verschilden van applicatie tot applicatie. Als geheel zou de reeks bedreigende applicaties de volledige controle over het gecompromitteerde apparaat kunnen krijgen. De aanvallers konden de bestandstypen die op het apparaat waren opgeslagen opsommen en alle bestanden die hun aandacht trokken, exfiltreren. Bovendien kan Bahamut:
- Toegang tot apparaatinformatie,
- Toegang tot oproeprecords,
- Toegang tot contacten,
- Toegang tot oproeprecords en sms-berichten
- Neem telefoontjes op,
- Video en audio opnemen,
- Volg de GPS-locatie.
Bahamut is verantwoordelijk voor desinformatiecampagnes
Het andere aspect van de dreigende operaties van Baahamut toont hetzelfde niveau van toewijding en aandacht voor detail. De APT-groep maakt complete websites die zijn gewijd aan het verspreiden van valse informatie. Om ze legitiemer te maken, maken de hackers ook neppersoonlijkheden op sociale media. De groep kocht zelfs het domein van een eens legitieme tech-nieuwssite genaamd Techsprouts en bracht het nieuw leven in om een hele reeks onderwerpen te dienen, van geopolitiek en nieuws uit de branche tot artikelen over andere hackergroepen of exploitmakelaars. De bijdragers aan Techsporut hebben allemaal een identiteit gecreëerd waarbij de hackers foto's maken van echte journalisten. Een veel voorkomend onderwerp onder verschillende nepwebsites van Bahamut is het Sikh-referendum van 2020, dat sinds 2019 een hot-buttononderwerp is in India.
Wat regionale voorkeuren betreft, is Bahamut actiever geweest in de regio's Midden-Oosten en Zuid-Azië. In feite hebben de hackers een deel van de download van een deel van hun dreigende applicaties in de regio geblokkeerd om alleen beschikbaar te zijn voor gebruikers in de Verenigde Arabische Emiraten, terwijl andere applicaties waren vermomd als applicaties met een Ramadan-thema of gekoppeld aan een Sikh-separatistische beweging.
Bahamut wordt goed gefinancierd
Bahamut kon een aanzienlijke tijd onopgemerkt blijven, en hoewel sommige van zijn activiteiten werden opgepikt door infosec-onderzoekers, werden ze toegeschreven aan verschillende hackgroepen zoals EHDevel, Windshift , Urpage en de White Company. De reden die Bahamut in staat heeft gesteld om een dergelijke operationele veiligheid te bereiken, is de aanzienlijke hoeveelheid werk die in elke aanvalscampagne wordt gestoken en de snelheid waarmee deze de betrokken infrastructuur en malwaretools verandert. Er is ook geen overdracht tussen verschillende bewerkingen. Volgens BlackBerry-onderzoekers zijn er geen IP-adressen of domeinen van Windows-aanvallen gebruikt voor phishing of mobiele campagnes en vice versa. Bahamut heeft er ook voor gezorgd dat zijn activiteit niet geconcentreerd is op een enkele hostingprovider en momenteel meer dan 50 verschillende providers in dienst heeft. Zoals de cybersecurity-onderzoekers opmerken, vereist het bereiken van dit aanzienlijke inspanning, tijd en toegang tot middelen.
