BAHAMUT APT
Bahamut, care în tradiția arabă era un monstru marin uriaș care a ajutat la susținerea structurii care ține pământul, a fost numele dat de cercetătorii de la BlackBerry unui grup de hackeri extrem de amenințător. Cercetătorii cred că, datorită gamei largi de ținte diferite, Bahamut este o amenințare persistentă avansată (APT) care operează ca un mercenar angajat de persoane private, corporații sau chiar guverne. O altă caracteristică care susține această teorie este accesul incredibil la resursele pe care hackerii trebuie să le aibă pentru a-și susține campaniile de atac bine țintite și realizate cu precizie. Principalul accent al lui Bahamut este pe atacurile de tip phishing, furtul de acreditări și activitatea foarte neobișnuită pentru o activitate de grup APT de răspândire a dezinformarii.
Cuprins
Bahamut efectuează atacuri de phishing reglate fin
Pentru atacurile sale de phishing, Bahamut afișează o atenție incredibilă la detalii. Hackerii vizează indivizi anumiți și pe care îi observă pe o perioadă îndelungată care, în unele cazuri, poate dura peste un an. Hackerii au demonstrat, de asemenea, că sunt capabili să atace toate tipurile de dispozitive. Bahamut a desfășurat campanii folosind malware Windows personalizat, precum și a exploatat diverse vulnerabilități zero-day, în timp ce activitățile lor recente au implicat atacuri împotriva telefoanelor și dispozitivelor mobile. Hackerii demonstrează cunoștințe profunde atât despre iOS, cât și despre Android. Ei au reușit să plaseze direct nouă aplicații amenințătoare pe AppStore, în timp ce o întreagă gamă de aplicații Android le pot fi atribuite prin amprentele digitale unice descoperite de cercetătorii infosec. Pentru a ocoli unele dintre măsurile de protecție impuse de Apple și Google, Bahamut creează site-uri web cu aspect oficial care includ Politici de confidențialitate și chiar Termeni și condiții scrise pentru fiecare dintre aplicații. Toate aplicațiile distribuite de Bahamut aveau funcționalitate backdoor, dar capacitățile lor specifice diferă de la aplicație la aplicație. În ansamblu, setul de aplicații amenințătoare ar putea prelua controlul complet asupra dispozitivului compromis. Atacatorii puteau enumera tipurile de fișiere stocate pe dispozitiv și puteau să le exfiltreze pe orice le-a atras atenția. În plus, Bahamut poate:
- Accesați informațiile despre dispozitiv,
- Accesați înregistrările apelurilor,
- Accesați contacte,
- Accesați înregistrările apelurilor și mesajele SMS
- Înregistrează apelurile telefonice,
- Înregistrați video și audio,
- Urmăriți locația GPS.
Bahamut este responsabil pentru campaniile de dezinformare
Celălalt aspect al operațiunilor amenințătoare ale lui Baahamut arată același nivel de angajament și atenție la detalii. Grupul APT creează site-uri web complete dedicate răspândirii de informații false. Pentru a le face mai legitime, hackerii creează și personalități false ale rețelelor sociale. Grupul a cumpărat chiar domeniul unui site de știri tehnologice, cândva legitim, numit Techsprouts și l-a reînviat pentru a servi o întreagă gamă de subiecte, de la geopolitică și știri din industrie până la articole despre alte grupuri de hackeri sau brokeri de exploatare. Colaboratorii pentru Techsporut și-au creat cu toții identități, hackerii făcând poze cu jurnalişti adevărați. Un subiect comun printre mai multe site-uri false ale lui Bahamut este Referendumul Sikh din 2020, care a fost un subiect fierbinte în India din 2019.
În ceea ce privește preferințele regionale, Bahamut a fost mai activ în regiunile din Orientul Mijlociu și Asia de Sud. De fapt, hackerii au blocat o parte descărcarea unora dintre aplicațiile lor amenințătoare pentru a fi disponibile numai pentru utilizatorii din Emiratele Arabe Unite, în timp ce alte aplicații au fost deghizate în aplicații cu tema Ramadan sau legate de o mișcare separatistă sikh.
Bahamut este bine finanțat
Bahamut a fost capabil să rămână nedetectat pentru o perioadă considerabilă de timp și, deși unele dintre activitățile sale au fost preluate de cercetătorii infosec, acestea au fost atribuite diferitelor grupuri de hack, cum ar fi EHDevel, Windshift , Urpage și White Company. Motivul care i-a permis lui Bahamut să obțină o astfel de securitate operațională este cantitatea considerabilă de muncă depusă în fiecare campanie de atac și viteza cu care schimbă infrastructura implicată și instrumentele malware. De asemenea, nu există transfer între diferite operațiuni. Potrivit cercetătorilor BlackBerry, nu au fost folosite adrese IP sau domenii din atacurile Windows pentru campanii de phishing sau mobile și invers. De asemenea, Bahamut s-a asigurat că activitatea sa nu este concentrată pe un singur furnizor de găzduire și are în prezent peste 50 de furnizori diferiți. După cum subliniază cercetătorii în domeniul securității cibernetice, realizarea acestui lucru necesită efort considerabil, timp și acces la resurse.
