BAHAMUT APT

BAHAMUT APT Opis

Bahamut, ki je bil v arabskem izročilu velikanska morska pošast, ki je pomagala podpirati strukturo, ki drži zemljo, je bilo ime, ki so ga raziskovalci pri BlackBerryju nadeli izjemno nevarni hekerski skupini. Raziskovalci verjamejo, da je Bahamut zaradi širokega spektra različnih ciljev napredna obstojna grožnja (APT), ki deluje kot plačanec, ki ga najamejo zasebniki, korporacije ali celo vlade. Druga značilnost, ki podpira to teorijo, je neverjeten dostop do virov, ki jih morajo imeti hekerji, da podpirajo svoje visoko usmerjene in natančno izdelane napadalne kampanje. Bahamut se osredotoča na napade z lažnim predstavljanjem, krajo poverilnic in zelo nenavadno za skupino APT dejavnost širjenja dezinformacij.

Bahamut izvaja natančno nastavljene napade z lažnim predstavljanjem

Bahamut pri svojih napadih z lažnim predstavljanjem izkazuje neverjetno pozornost do podrobnosti. Hekerji ciljajo na določene posameznike in jih opazujejo daljše obdobje, ki lahko v nekaterih primerih traja tudi več kot eno leto. Hekerji so tudi pokazali, da so sposobni napadati vse vrste naprav. Bahamut je izvajal kampanje, v katerih je uporabljal po meri izdelano zlonamerno programsko opremo Windows, kot tudi izkoriščal različne ranljivosti ničelnega dne, medtem ko so njihove nedavne dejavnosti vključevale napade na mobilne telefone in naprave. Hekerji dokazujejo globoko poznavanje tako iOS kot Androida. Devet grozečih aplikacij jim je uspelo umestiti neposredno v AppStore, medtem ko jim je mogoče pripisati celo vrsto aplikacij za Android prek edinstvenih prstnih odtisov, ki so jih odkrili raziskovalci infosec. Da bi zaobšel nekatere zaščitne ukrepe, ki sta jih postavila Apple in Google, Bahamut izdela uradna spletna mesta, ki vključujejo pravilnike o zasebnosti in celo pisne pogoje storitve za vsako od aplikacij. Vse aplikacije, ki jih je distribuiral Bahamut, so imele funkcijo backdoor, vendar so se njihove posebne zmogljivosti razlikovale od aplikacije do aplikacije. Kot celota bi lahko nabor grozečih aplikacij prevzel popoln nadzor nad ogroženo napravo. Napadalci bi lahko našteli vrste datotek, shranjenih v napravi, in odstranili vse, ki bi jim padli v oči. Poleg tega lahko Bahamut:

  • dostop do informacij o napravi,
  • dostop do evidenc klicev,
  • Dostop do stikov,
  • Dostopajte do zapisov klicev in sporočil SMS
  • Snemanje telefonskih klicev,
  • Snemanje videa in zvoka,
  • Sledite lokaciji GPS.

Bahamut je odgovoren za dezinformacijske kampanje

Drugi vidik Baahamutovih grozečih operacij kaže enako raven predanosti in pozornosti do podrobnosti. Skupina APT oblikuje popolna spletna mesta, namenjena širjenju lažnih informacij. Da bi bili bolj legitimni, hekerji izdelajo tudi lažne osebnosti družbenih medijev. Skupina je celo kupila domeno nekoč legitimnega spletnega mesta s tehničnimi novicami, imenovanega Techsprouts, in jo oživila, da bi služila številnim temam od geopolitičnih in industrijskih novic do člankov o drugih hekerskih skupinah ali posrednikih za izkoriščanje. Vsi sodelavci za Techsporut so izdelali identitete, pri čemer so hekerji fotografirali prave novinarje. Pogosta tema med številnimi Bahamutovimi lažnimi spletnimi mesti je referendum o Sikhih 2020, ki je v Indiji od leta 2019 vroča tema.

Kar zadeva regionalne preference, je bil Bahamut bolj aktiven v regijah Bližnjega vzhoda in Južne Azije. Pravzaprav so hekerji nekaterim blokirali prenos nekaterih svojih grozečih aplikacij, da bi bile na voljo samo uporabnikom v Združenih arabskih emiratih, medtem ko so bile druge aplikacije prikrite kot aplikacije na temo ramazana ali povezane s separatističnim gibanjem Sikh.

Bahamut je dobro financiran

Bahamut je lahko precej časa ostal neopažen in čeprav so nekatere njegove dejavnosti prevzeli raziskovalci infosec, so jih pripisali različnim hekerskim skupinam, kot so EHDevel, Windshift , Urpage in White Company. Razlog, zaradi katerega je Bahamut omogočil takšno operativno varnost, je veliko dela, ki se vloži v vsako napadalno kampanjo in hitrost, s katero spreminja vključeno infrastrukturo in orodja zlonamerne programske opreme. Prav tako ni prenosa med različnimi operacijami. Po mnenju raziskovalcev BlackBerryja niso bili uporabljeni nobeni naslovi IP ali domene iz napadov Windows za lažno predstavljanje ali mobilne kampanje in obratno. Bahamut je tudi zagotovil, da njegova dejavnost ni osredotočena na enega ponudnika gostovanja in trenutno zaposluje več kot 50 različnih ponudnikov. Kot poudarjajo raziskovalci kibernetske varnosti, je za dosego tega potrebno veliko truda, časa in dostopa do virov.