BAHAMUT APT

Descrição do BAHAMUT APT

Bahamut, que na tradição árabe era um monstro marinho gigantesco que ajudava a sustentar a estrutura que segura a Terra, foi o nome dado pelos pesquisadores da BlackBerry a um grupo de hackers extremamente ameaçador. Os pesquisadores acreditam que, devido à ampla gama de alvos diferentes, Bahamut é uma Ameaça Persistente Avançada (APT) que opera como um mercenário contratado por particulares, empresas ou mesmo governos. Outra característica que apóia essa teoria é o incrível acesso aos recursos que os hackers devem ter para apoiar suas campanhas de ataque altamente direcionadas e elaboradas com precisão. O foco principal de Bahamut em ataques de phishing, roubo de credenciais e o que é muito incomum para uma atividade de grupo APT de espalhar desinformação.

O Bahamut Realiza Ataques de Phishing Ajustados

Para seus ataques de phishing, Bahamut mostra uma atenção incrível aos detalhes. Os hackers têm como alvo indivíduos específicos e que os observam por um período prolongado que, em alguns casos, pode durar mais de um ano. Os hackers também mostraram que são capazes de atacar todos os tipos de dispositivos. Bahamut realizou campanhas que empregam malware personalizado do Windows, bem como explorou várias vulnerabilidades de dia zero, enquanto suas atividades recentes envolveram ataques contra telefones celulares e dispositivos. Os hackers demonstram profundo conhecimento de iOS e Android. Eles conseguiram colocar nove aplicativos ameaçadores na AppStore diretamente, enquanto uma grande variedade de aplicativos Android pode ser atribuída a eles por meio de impressões digitais exclusivas descobertas pelos pesquisadores da infosec. Para contornar algumas das salvaguardas colocadas pela Apple e pelo Google, Bahamut criou sites de aparência oficial que incluem Políticas de Privacidade e até mesmo Termos de Serviço por escrito para cada um dos aplicativos. Todos os aplicativos distribuídos pela Bahamut tinham funcionalidade backdoor, mas seus recursos específicos diferiam de aplicativo para aplicativo. Como um todo, o conjunto de aplicativos ameaçadores pode assumir o controle total do dispositivo comprometido. Os invasores podem enumerar os tipos de arquivos armazenados no dispositivo e exfiltrar qualquer um que chamar sua atenção. Além disso, Bahamut pode:

  • Acessar as informações do dispositivo,
  • Acessar os registros de chamadas,
  • Acessar contatos,
  • Acessar registros de chamadas e mensagens SMS
  • Gravar ligações,
  • Gravar vídeo e áudio,
  • Rastrear a localização GPS.

O Bahamut é Responsável por Campanhas de Desinformação

O outro aspecto das operações ameaçadoras de Baahamut mostra o mesmo nível de comprometimento e atenção aos detalhes. O grupo APT cria sites completos dedicados a divulgar informações falsas. Para torná-los mais legítimos, os hackers também criam personalidades falsas nas redes sociais. O grupo até comprou o domínio de um site de notícias de tecnologia que já foi legítimo, chamado Techsprouts, e o reviveu para servir a uma ampla gama de tópicos, desde geopolítica e notícias do setor a artigos sobre outros grupos de hackers ou corretores de exploits. Todos os colaboradores da Techsporut criaram identidades com os hackers tirando fotos de jornalistas reais. Um tópico comum entre vários sites falsos de Bahamut é o Referendo Sikh de 2020, que tem sido um tema quente na Índia desde 2019.

Quanto às preferências regionais, Bahamut tem sido mais ativo nas regiões do Oriente Médio e do Sul da Ásia. Na verdade, os hackers bloquearam o download de alguns de seus aplicativos ameaçadores para ficarem disponíveis apenas para usuários nos Emirados Árabes Unidos, enquanto outros aplicativos foram disfarçados como aplicativos com o tema Ramadã ou vinculados a um movimento separatista sikh.

O Bahamut Tem um Bom Financiamento

O Bahamut foi capaz de permanecer sem ser detectado por um período considerável de tempo e, embora algumas de suas atividades tenham sido detectadas por pesquisadores da infosec, elas foram atribuídas a diferentes grupos de hack, como EHDevel, Windshift , Urpage e a White Company. O motivo que permitiu que Bahamut obtivesse tal segurança operacional é a quantidade considerável de trabalho colocada em cada campanha de ataque e a velocidade com que muda a infraestrutura envolvida e as ferramentas de malware. Também não há transferência entre as diferentes operações. De acordo com os pesquisadores do BlackBerry, nenhum endereço IP ou domínio de ataques ao Windows foi usado para phishing ou campanhas móveis e vice-versa. Bahamut também garantiu que sua atividade não se concentrasse em um único provedor de hospedagem e empregasse atualmente mais de 50 provedores diferentes. Como apontam os pesquisadores de segurança cibernética, conseguir isso requer um esforço considerável, tempo e acesso a recursos.