БАХАМУТ АПТ

БАХАМУТ АПТ Опис

Бахамут, који је у арапском предању био огромно морско чудовиште које је помогло у подршци структури која држи земљу, било је име које су истраживачи БлацкБеррија дали изузетно опасној хакерској групи. Истраживачи верују да је због широког спектра различитих мета, Бахамут напредна трајна претња (АПТ) која делује као плаћеник којег унајмљују приватни појединци, корпорације или чак владе. Још једна карактеристика која подржава ову теорију је невероватан приступ ресурсима које хакери морају да имају да би подржали своје високо циљане и прецизно израђене нападне кампање. Бахамутов главни фокус је на пхисхинг нападима, крађи акредитива и веома неуобичајеној активности АПТ групе ширења дезинформација.

Бахамут спроводи фино подешене пхисхинг нападе

За своје пхисхинг нападе, Бахамут показује невероватну пажњу на детаље. Хакери циљају одређене појединце и које посматрају дужи период који у неким случајевима може трајати и више од годину дана. Хакери су такође показали да су способни да нападну све типове уређаја. Бахамут је спровео кампање користећи прилагођени Виндовс малвер, као и искористио различите рањивости нултог дана, док су њихове недавне активности укључивале нападе на мобилне телефоне и уређаје. Хакери показују дубоко познавање и иОС-а и Андроид-а. Успели су да директно поставе девет претећих апликација на АппСторе, док им се читав низ Андроид апликација може приписати путем јединствених отисака прстију које су открили истраживачи инфосец-а. Да би заобишао неке од заштитних мера које су поставили Аппле и Гоогле, Бахамут прави веб странице званичног изгледа које укључују Политику приватности, па чак и писане Услове коришћења услуге за сваку од апликација. Све апликације које је дистрибуирао Бахамут имале су бацкдоор функционалност, али су се њихове специфичне могућности разликовале од апликације до апликације. У целини, скуп претећих апликација могао би да преузме потпуну контролу над компромитованим уређајем. Нападачи су могли да наброје типове датотека ускладиштених на уређају и да ексфилтрирају све који им запазе за око. Поред тога, Бахамут може:

  • Приступ информацијама о уређају,
  • Приступ евиденцији позива,
  • Приступите контактима,
  • Приступите евиденцији позива и СМС порукама
  • Снимање телефонских позива,
  • Снимите видео и аудио,
  • Пратите ГПС локацију.

Бахамут је одговоран за кампање дезинформисања

Други аспект Бахамутових претећих операција показује исти ниво посвећености и пажње према детаљима. АПТ група израђује комплетне веб странице посвећене ширењу лажних информација. Да би били легитимнији, хакери стварају и лажне личности друштвених медија. Група је чак купила домен некада легитимног сајта са вестима о технологији под називом Тецхспроутс и оживела га да служи читавом низу тема од геополитичких и индустријских вести до чланака о другим хакерским групама или брокерима за експлоатацију. Сви сарадници за Тецхспорут су креирали идентитете са хакерима који су сликали праве новинаре. Уобичајена тема међу неколико Бахамутових лажних веб страница је референдум о Сикхима 2020., који је у Индији актуелна тема од 2019. године.

Што се тиче регионалних преференција, Бахамут је био активнији у регионима Блиског истока и Јужне Азије. У ствари, хакери су блокирали неке од својих претећих апликација да би биле доступне само корисницима у Уједињеним Арапским Емиратима, док су друге апликације биле прерушене у апликације са темом Рамазана или повезане са сепаратистичким покретом Сика.

Бахамут је добро финансиран

Бахамут је био у стању да остане неоткривен дуго времена, и док су неке од његових активности открили истраживачи инфосец-а, оне су приписане различитим хакерским групама као што су ЕХДевел, Виндсхифт , Урпаге и Бела компанија. Разлог који је омогућио Бахамуту да постигне такву оперативну сигурност је знатна количина посла уложеног у сваку кампању напада и брзина којом се мења укључена инфраструктура и алати за малвер. Такође нема преноса између различитих операција. Према БлацкБерри истраживачима, ниједна ИП адреса или домен од Виндовс напада није коришћен за пхисхинг или мобилне кампање и обрнуто. Бахамут је такође обезбедио да његова активност није концентрисана на једног хостинг провајдера и тренутно запошљава преко 50 различитих провајдера. Како истичу истраживачи сајбер-безбедности, постизање овог захтева захтева знатан труд, време и приступ ресурсима.