BAHAMUT APT

BAHAMUT APT Beskrivning

Bahamut, som på arabiska lore var ett gigantiskt havsmonster som hjälpte till att stödja strukturen som håller jorden, var namnet som forskarna på BlackBerry gav till en extremt hotfull hackergrupp. Forskarna tror att på grund av det breda utbudet av olika mål är Bahamut ett Advanced Persistent Threat (APT) som fungerar som en legosoldat som hyrs in av privatpersoner, företag eller till och med regeringar. En annan egenskap som stödjer denna teori är den otroliga tillgången till resurser som hackarna måste ha för att stödja sina mycket riktade och precisionsutformade attackkampanjer. Bahamuts huvudsakliga fokus är på nätfiskeattacker, identitetsstöld och det mycket ovanliga för en APT-grupps aktivitet att sprida desinformation.

Bahamut utför finjusterade nätfiskeattacker

För sina nätfiskeattacker visar Bahamut otrolig uppmärksamhet på detaljer. Hackarna riktar sig mot specifika individer och som de observerar under en längre period som i vissa fall kan pågå i över ett år. Hackarna har också visat att de är kapabla att attackera alla typer av enheter. Bahamut har genomfört kampanjer med skräddarsydd Windows-skadlig programvara, samt utnyttjat olika nolldagssårbarheter, medan deras senaste aktiviteter har involverat attacker mot mobiltelefoner och enheter. Hackarna visar djup kunskap om både iOS och Android. De har lyckats placera nio hotfulla applikationer på AppStore direkt, samtidigt som en hel rad Android-applikationer kan tillskrivas dem genom unika fingeravtryck som upptäckts av infosec-forskarna. För att kringgå några av de skyddsåtgärder som Apple och Google har lagt, skapar Bahamut webbplatser med ett officiellt utseende som inkluderar sekretesspolicyer och till och med skriftliga användarvillkor för var och en av applikationerna. Alla applikationer som distribuerades av Bahamut hade bakdörrsfunktionalitet, men deras specifika möjligheter skilde sig från applikation till applikation. Som helhet kan uppsättningen av hotfulla applikationer ta fullständig kontroll över den komprometterade enheten. Angriparna kunde räkna upp filtyperna som lagrats på enheten och exfiltrera alla som fångade deras blick. Dessutom kan Bahamut:

  • Få tillgång till enhetsinformation,
  • Få tillgång till samtalsregister,
  • Få tillgång till kontakter,
  • Få tillgång till samtalsregister och SMS-meddelanden
  • Spela in telefonsamtal,
  • Spela in video och ljud,
  • Spåra GPS-position.

Bahamut är ansvarig för desinformationskampanjer

Den andra aspekten av Baahamuts hotfulla verksamhet visar samma nivå av engagemang och uppmärksamhet på detaljer. APT-gruppen skapar kompletta webbplatser dedikerade till att sprida falsk information. För att göra dem mer legitima skapar hackarna också falska sociala mediepersonligheter. Gruppen köpte till och med domänen för en en gång legitim teknisk nyhetssajt som heter Techsprouts och återupplivade den för att tjäna en hel rad ämnen från geopolitik och industrinyheter till artiklar om andra hackergrupper eller exploateringsmäklare. Bidragsgivarna till Techsporut har alla skapat identiteter med hackare som tar bilder på riktiga journalister. Ett vanligt ämne bland flera av Bahamuts falska webbplatser är Sikh-folkomröstningen 2020, som har varit ett hett ämne i Indien sedan 2019.

När det gäller regionala preferenser har Bahamut varit mer aktiva i regionerna i Mellanöstern och Sydasien. Faktum är att hackarna regionlåste vissa nedladdningar av en del av deras hotfulla applikationer så att de bara var tillgängliga för användare i Förenade Arabemiraten medan andra applikationer var förklädda till ramadan-tema eller kopplade till en sikhisk separatiströrelse.

Bahamut är välfinansierat

Bahamut kunde förbli oupptäckt under en avsevärd tid, och medan en del av dess aktiviteter togs upp av infosec-forskare, tillskrevs de olika hackgrupper som EHDevel, Windshift, Urpage och White Company. Anledningen som har gjort det möjligt för Bahamut att uppnå sådan operativ säkerhet är den avsevärda mängd arbete som läggs ner på varje attackkampanj och den hastighet med vilken den förändrar den inblandade infrastrukturen och skadliga verktyg. Det finns inte heller någon överföring mellan olika verksamheter. Enligt BlackBerry-forskare har inga IP-adresser eller domäner från Windows-attacker använts för nätfiske eller mobilkampanjer och vice versen. Bahamut har också sett till att dess verksamhet inte är koncentrerad till en enda värdleverantör och sysselsätter för närvarande över 50 olika leverantörer. Som cybersäkerhetsforskarna påpekar kräver det stora ansträngningar, tid och tillgång till resurser för att uppnå detta.