BAHAMUT APT

BAHAMUT APT Opis

Bahamut, który w tradycji arabskiej był gigantycznym potworem morskim, który pomagał utrzymać strukturę, która utrzymuje ziemię, to nazwa nadana przez naukowców z BlackBerry niezwykle groźnej grupie hakerów. Naukowcy uważają, że ze względu na szeroki wachlarz różnych celów Bahamut jest zaawansowanym, trwałym zagrożeniem (APT), który działa jako najemnik wynajmowany przez osoby prywatne, korporacje, a nawet rządy. Inną cechą wspierającą tę teorię jest niesamowity dostęp do zasobów, które muszą mieć hakerzy, aby wspierać ich wysoce ukierunkowane i precyzyjnie wykonane kampanie ataków. Bahamut koncentruje się głównie na atakach phishingowych, kradzieży danych uwierzytelniających i bardzo nietypowej działalności grupy APT polegającej na szerzeniu dezinformacji.

Bahamut przeprowadza precyzyjne ataki phishingowe

W przypadku ataków phishingowych Bahamut wykazuje niesamowitą dbałość o szczegóły. Hakerzy atakują określone osoby i obserwują przez dłuższy czas, który w niektórych przypadkach może trwać ponad rok. Hakerzy pokazali również, że potrafią atakować wszystkie typy urządzeń. Bahamut prowadził kampanie wykorzystujące specjalnie spreparowane złośliwe oprogramowanie dla systemu Windows, a także wykorzystywał różne luki typu „zero-day", a ich ostatnie działania obejmowały ataki na telefony komórkowe i urządzenia. Hakerzy wykazują się głęboką znajomością systemów iOS i Android. Udało im się umieścić dziewięć niebezpiecznych aplikacji bezpośrednio w AppStore, podczas gdy całą gamę aplikacji na Androida można przypisać do nich dzięki unikalnym odciskom palców odkrytym przez badaczy infosec. Aby ominąć niektóre zabezpieczenia wprowadzone przez Apple i Google, Bahamut tworzy oficjalnie wyglądające strony internetowe, które zawierają Politykę prywatności, a nawet pisemne Warunki korzystania z usługi dla każdej z aplikacji. Wszystkie aplikacje dystrybuowane przez Bahamut miały funkcjonalność backdoora, ale ich specyficzne możliwości różniły się w zależności od aplikacji. W sumie zestaw zagrażających aplikacji może przejąć pełną kontrolę nad zaatakowanym urządzeniem. Atakujący mogli wyliczyć typy plików przechowywane na urządzeniu i wydobyć wszystkie, które przyciągną ich uwagę. Ponadto Bahamut może:

  • Dostęp do informacji o urządzeniu,
  • Dostęp do rejestrów połączeń,
  • Dostęp do kontaktów,
  • Dostęp do rejestrów połączeń i wiadomości SMS
  • Nagrywaj rozmowy telefoniczne,
  • Nagrywaj wideo i audio,
  • Śledź lokalizację GPS.

Bahamut jest odpowiedzialny za kampanie dezinformacyjne

Inny aspekt groźnych operacji Baahamuta pokazuje ten sam poziom zaangażowania i dbałości o szczegóły. Grupa APT tworzy kompletne strony internetowe poświęcone rozpowszechnianiu fałszywych informacji. Aby uczynić je bardziej wiarygodnymi, hakerzy tworzą również fałszywe osobowości w mediach społecznościowych. Grupa kupiła nawet domenę niegdyś legalnej strony z wiadomościami technicznymi o nazwie Techsprouts i ożywiła ją, aby obsługiwać cały zakres tematów, od geopolityki i wiadomości branżowych po artykuły o innych grupach hakerskich lub brokerach exploitów. Wszyscy współpracownicy Techsporut stworzyli tożsamość z hakerami robiącymi zdjęcia prawdziwym dziennikarzom. Częstym tematem na kilku fałszywych stronach Bahamuta jest referendum sikhijskie w 2020 r., Które jest tematem gorącym w Indiach od 2019 r.

Jeśli chodzi o preferencje regionalne, Bahamut był bardziej aktywny w regionach Bliskiego Wschodu i Azji Południowej. W rzeczywistości hakerzy zablokowali możliwość pobierania niektórych z ich groźnych aplikacji tylko dla użytkowników w Zjednoczonych Emiratach Arabskich, podczas gdy inne były zamaskowane jako aplikacje związane z ramadanem lub powiązane z ruchem separatystów sikhijskich.

Bahamut jest dobrze finansowany

Bahamut był w stanie pozostać niewykrytym przez znaczny czas i chociaż niektóre z jego działań zostały zauważone przez badaczy infosec, przypisano je różnym grupom hakerskim, takim jak EHDevel, Windshift , Urpage i White Company. Powodem, który umożliwił Bahamutowi osiągnięcie takiego bezpieczeństwa operacyjnego, jest znaczna ilość pracy włożona w każdą kampanię ataków oraz szybkość, z jaką zmienia się wykorzystywana infrastruktura i narzędzia złośliwego oprogramowania. Nie ma również przenoszenia między różnymi operacjami. Według badaczy BlackBerry żadne adresy IP ani domeny z ataków systemu Windows nie zostały wykorzystane do phishingu lub kampanii mobilnych i odwrotnie. Bahamut zapewnił również, że jego działalność nie jest skoncentrowana na jednym dostawcy usług hostingowych i obecnie zatrudnia ponad 50 różnych dostawców. Jak podkreślają badacze ds. Cyberbezpieczeństwa, osiągnięcie tego wymaga znacznego wysiłku, czasu i dostępu do zasobów.