БАХАМУТ АПТ

Бахамут, который в арабских преданиях был гигантским морским чудовищем, помогавшим поддерживать структуру, удерживающую землю, было именем, данным исследователями BlackBerry чрезвычайно опасной хакерской группе. Исследователи считают, что из-за широкого спектра различных целей, Бахамут представляет собой продвинутую постоянную угрозу (APT), которая действует как наемник, нанятый частными лицами, корпорациями или даже правительствами. Еще одна характеристика, подтверждающая эту теорию, — это невероятный доступ к ресурсам, которые должны быть у хакеров для поддержки их целенаправленных и тщательно продуманных атак. Основное внимание Бахамута уделяет фишинговым атакам, краже учетных данных и очень необычной для APT-группы деятельности по распространению дезинформации.

Bahamut проводит отлаженные фишинговые атаки

В своих фишинговых атаках Bahamut проявляет невероятное внимание к деталям. Хакеры нацелены на конкретных людей и наблюдают за ними в течение длительного периода, который в некоторых случаях может длиться более года. Хакеры также показали, что они способны атаковать все типы устройств. Bahamut проводил кампании с использованием специально созданных вредоносных программ для Windows, а также использовал различные уязвимости нулевого дня, а их недавние действия включали атаки на мобильные телефоны и устройства. Хакеры демонстрируют глубокие знания как iOS, так и Android. Им удалось разместить девять угрожающих приложений напрямую в AppStore, а целый ряд Android-приложений можно отнести к ним по уникальным отпечаткам пальцев, обнаруженным исследователями информационной безопасности. Чтобы обойти некоторые меры безопасности, установленные Apple и Google, Bahamut создает официальные веб-сайты, которые включают Политики конфиденциальности и даже письменные Условия обслуживания для каждого из приложений. Все приложения, распространяемые Bahamut, имели бэкдор, но их конкретные возможности различались от приложения к приложению. В целом набор угрожающих приложений может получить полный контроль над скомпрометированным устройством. Злоумышленники могли перечислить типы файлов, хранящиеся на устройстве, и извлечь все, что попалось им на глаза. Кроме того, Бахамут может:

• Доступ к информации об устройстве,
• Доступ к записям звонков,
• Доступ к контактам,
• Доступ к записям звонков и SMS-сообщениям
• Запись телефонных звонков,
• Запись видео и аудио,
• Отслеживайте местоположение GPS.

Бахамут отвечает за кампании по дезинформации

Другой аспект угрожающих операций Баахамута демонстрирует тот же уровень приверженности и внимания к деталям. Группа APT создает полноценные веб-сайты, посвященные распространению ложной информации. Чтобы сделать их более легитимными, хакеры также создают поддельные личности в социальных сетях. Группа даже купила домен некогда законного сайта технических новостей под названием Techsprouts и возродила его, чтобы обслуживать целый ряд тем, от геополитики и отраслевых новостей до статей о других хакерских группах или брокерах эксплойтов. Все авторы «Техспорута» создали личности с помощью хакеров, сфотографировавших настоящих журналистов. Распространенной темой среди нескольких поддельных веб-сайтов Бахамута является референдум сикхов 2020 года, который с 2019 года является горячей темой в Индии.

Что касается региональных предпочтений, Bahamut был более активен в регионах Ближнего Востока и Южной Азии. Фактически, хакеры заблокировали загрузку некоторых из своих угрожающих приложений, чтобы они были доступны только для пользователей в Объединенных Арабских Эмиратах, в то время как другие приложения были замаскированы под приложения на тему Рамадана или связаны с сикхским сепаратистским движением.

Бахамут хорошо финансируется

Bahamut мог оставаться незамеченным в течение значительного времени, и хотя некоторые из его действий были обнаружены исследователями информационной безопасности, они были приписаны различным хакерским группам, таким как EHDevel, Windshift , Urpage и White Company. Причина, позволившая Bahamut достичь такой операционной безопасности, заключается в значительном объеме работы, вложенной в каждую атакующую кампанию, и скорости, с которой она изменяет задействованную инфраструктуру и вредоносные инструменты. Также нет переноса между различными операциями. По словам исследователей BlackBerry, никакие IP-адреса или домены из Windows-атак не использовались для фишинговых или мобильных кампаний и наоборот. Bahamut также позаботился о том, чтобы его деятельность не была сосредоточена на одном хостинг-провайдере, и в настоящее время у него работает более 50 различных провайдеров. Как отмечают исследователи кибербезопасности, для этого требуются значительные усилия, время и доступ к ресурсам.