BAHAMUT APT

BAHAMUT APT Popis

Bahamut, čo v arabskej tradícii predstavovalo obrovské morské monštrum, ktoré pomáhalo podporovať štruktúru, ktorá drží Zem, pomenovali výskumníci z BlackBerry mimoriadne hrozivej hackerskej skupine. Výskumníci sa domnievajú, že kvôli širokému spektru rôznych cieľov je Bahamut pokročilou trvalou hrozbou (APT), ktorá funguje ako žoldnier najatý súkromnými osobami, korporáciami alebo dokonca vládami. Ďalšou charakteristikou podporujúcou túto teóriu je neuveriteľný prístup k zdrojom, ktoré hackeri musia mať na podporu svojich vysoko cielených a precízne vytvorených útočných kampaní. Bahamut sa zameriava hlavne na phishingové útoky, krádeže poverení a na činnosť skupiny APT veľmi nezvyčajnú, ktorou je šírenie dezinformácií.

Bahamut vykonáva jemne vyladené phishingové útoky

Pre svoje phishingové útoky Bahamut prejavuje neuveriteľnú pozornosť k detailom. Hackeri sa zameriavajú na konkrétnych jednotlivcov a pozorujú ich počas dlhšieho obdobia, ktoré v niektorých prípadoch môže trvať aj viac ako rok. Hackeri tiež ukázali, že sú schopní útočiť na všetky typy zariadení. Bahamut uskutočnil kampane využívajúce na mieru vytvorený malvér Windows, ako aj zneužil rôzne zraniteľnosti zero-day, pričom ich nedávne aktivity zahŕňali útoky na mobilné telefóny a zariadenia. Hackeri preukazujú hlboké znalosti o iOS aj Androide. Deväť hrozivých aplikácií sa im podarilo umiestniť priamo na AppStore, pričom vďaka unikátnym odtlačkom prstov, ktoré objavili výskumníci z infosec, im možno pripísať celý rad aplikácií pre Android. Aby sa vyhli niektorým bezpečnostným opatreniam spoločností Apple a Google, spoločnosť Bahamut vytvára oficiálne vyzerajúce webové stránky, ktoré zahŕňajú zásady ochrany osobných údajov a dokonca aj písomné zmluvné podmienky pre každú z aplikácií. Všetky aplikácie distribuované spoločnosťou Bahamut mali funkciu zadných vrátok, ale ich špecifické možnosti sa líšili od aplikácie k aplikácii. Ako celok by skupina ohrozujúcich aplikácií mohla prevziať úplnú kontrolu nad napadnutým zariadením. Útočníci mohli vymenovať typy súborov uložené v zariadení a exfiltrovať všetky, ktoré ich zaujali. Okrem toho môže Bahamut:

  • Prístup k informáciám o zariadení,
  • Prístup k záznamom hovorov,
  • Prístup ku kontaktom,
  • Prístup k záznamom hovorov a SMS správam
  • Nahrávať telefónne hovory,
  • Nahrávanie videa a zvuku,
  • Sledujte polohu GPS.

Bahamut je zodpovedný za dezinformačné kampane

Ďalší aspekt Baahamutových hrozivých operácií ukazuje rovnakú úroveň odhodlania a pozornosti k detailom. Skupina APT vytvára kompletné webové stránky venované šíreniu falošných informácií. Aby boli legitímnejší, hackeri vyrábajú aj falošné osobnosti sociálnych médií. Skupina dokonca kúpila doménu kedysi legitímneho technologického spravodajského webu s názvom Techsprouts a oživila ju, aby slúžila celému radu tém od geopolitických a priemyselných správ až po články o iných hackerských skupinách alebo exploit brokeroch. Všetci prispievatelia pre Techsport majú vytvorené identity s hackermi, ktorí fotia skutočných novinárov. Spoločnou témou niekoľkých falošných webových stránok Bahamut je Sikhské referendum 2020, ktoré je v Indii od roku 2019 horúcou témou.

Pokiaľ ide o regionálne preferencie, Bahamut bol aktívnejší v regiónoch Blízkeho východu a južnej Ázie. V skutočnosti hackeri v niektorých regiónoch zablokovali sťahovanie niektorých z ich hrozivých aplikácií, aby boli dostupné iba pre používateľov v Spojených arabských emirátoch, zatiaľ čo iné aplikácie boli maskované ako aplikácie s ramadánskou tematikou alebo boli spojené so sikhským separatistickým hnutím.

Bahamut je dobre financovaný

Bahamut bol schopný zostať nezistený po značnú dobu, a hoci niektoré z jeho aktivít zachytili výskumníci z Infosec, boli pripísané rôznym hackerským skupinám, ako sú EHDevel, Windshift , Urpage a White Company. Dôvodom, ktorý umožnil spoločnosti Bahamut dosiahnuť takú operačnú bezpečnosť, je značné množstvo práce vynaloženej na každú útočnú kampaň a rýchlosť, s akou mení príslušnú infraštruktúru a nástroje škodlivého softvéru. Nedochádza ani k prenosu medzi rôznymi operáciami. Podľa výskumníkov BlackBerry neboli žiadne IP adresy ani domény z útokov Windows použité na phishing alebo mobilné kampane a naopak. Bahamut tiež zabezpečil, že jeho činnosť sa nesústredí na jedného poskytovateľa hostingu a v súčasnosti zamestnáva viac ako 50 rôznych poskytovateľov. Ako zdôrazňujú výskumníci v oblasti kybernetickej bezpečnosti, dosiahnutie tohto cieľa si vyžaduje značné úsilie, čas a prístup k zdrojom.