BAHAMUT APT

BAHAMUT APT Description

Ang Bahamut, na sa Arabic lore ay isang napakalaking halimaw sa dagat na tumulong sa pagsuporta sa istrukturang humahawak sa lupa, ang pangalang ibinigay ng mga mananaliksik sa BlackBerry sa isang lubhang nagbabantang grupo ng hacker. Naniniwala ang mga mananaliksik na dahil sa malawak na hanay ng iba't ibang mga target, ang Bahamut ay isang Advanced Persistent Threat (APT) na nagpapatakbo bilang isang mersenaryong inupahan ng mga pribadong indibidwal, korporasyon o kahit na mga pamahalaan. Ang isa pang katangian na sumusuporta sa teoryang ito ay ang hindi kapani-paniwalang pag-access sa mga mapagkukunan na dapat taglayin ng mga hacker upang suportahan ang kanilang lubos na na-target at tumpak na ginawang mga kampanya sa pag-atake. Ang pangunahing pokus ng Bahamut ay sa mga pag-atake sa phishing, pagnanakaw ng kredensyal, at ang napaka-pangkaraniwan para sa aktibidad ng pangkat ng APT ng pagpapakalat ng disinformation.

Ang Bahamut ay Nagsasagawa ng Pinong-Tuned na Pag-atake sa Phishing

Para sa mga pag-atake nito sa phishing, ang Bahamut ay nagpapakita ng hindi kapani-paniwalang atensyon sa detalye. Ang mga hacker ay nagta-target ng mga partikular na indibidwal at na sila ay nagmamasid para sa isang pinalawig na panahon na, sa ilang mga kaso, ay maaaring tumagal ng higit sa isang taon. Ipinakita rin ng mga hacker na kaya nilang atakehin ang lahat ng uri ng device. Ang Bahamut ay nagsagawa ng mga kampanyang gumagamit ng custom-crafted na Windows malware, pati na rin ang pagsasamantala sa iba't ibang zero-day na kahinaan, habang ang kanilang mga kamakailang aktibidad ay nagsasangkot ng mga pag-atake laban sa mga mobile phone at device. Ang mga hacker ay nagpapakita ng malalim na kaalaman sa parehong iOS at Android. Nagawa nilang direktang maglagay ng siyam na nagbabantang application sa AppStore, habang ang isang buong hanay ng mga Android application ay maaaring maiugnay sa kanila sa pamamagitan ng mga natatanging fingerprint na natuklasan ng mga mananaliksik ng infosec. Upang lampasan ang ilan sa mga pananggalang na inilagay ng Apple at Google, gumawa ang Bahamut ng mga website na mukhang opisyal na may kasamang Mga Patakaran sa Privacy at kahit na nakasulat na Mga Tuntunin ng Serbisyo para sa bawat isa sa mga application. Ang lahat ng mga application na ipinamahagi ng Bahamut ay may backdoor functionality, ngunit ang kanilang mga partikular na kakayahan ay naiiba sa bawat aplikasyon. Sa kabuuan, ang hanay ng mga nagbabantang application ay maaaring magkaroon ng kumpletong kontrol sa nakompromisong device. Maaaring isa-isahin ng mga umaatake ang mga filetype na nakaimbak sa device at i-exfiltrate ang anumang nakapansin sa kanila. Bilang karagdagan, ang Bahamut ay maaaring:

  • I-access ang impormasyon ng device,
  • I-access ang mga talaan ng tawag,
  • I-access ang mga contact,
  • I-access ang mga talaan ng tawag at mga mensaheng SMS
  • Mag-record ng mga tawag sa telepono,
  • Mag-record ng video at audio,
  • Subaybayan ang lokasyon ng GPS.

Ang Bahamut ay Responsable para sa Mga Kampanya ng Disinformation

Ang iba pang aspeto ng pagbabanta ng mga operasyon ng Baahamut ay nagpapakita ng parehong antas ng pangako at atensyon sa detalye. Ang grupo ng APT ay gumagawa ng kumpletong mga website na nakatuon sa pagkalat ng pekeng impormasyon. Upang gawing mas lehitimo ang mga ito, gumagawa din ang mga hacker ng mga pekeng personalidad sa social media. Binili pa ng grupo ang domain ng isang dating lehitimong tech news site na tinatawag na Techsprouts at muling binuhay ito para maghatid ng buong hanay ng mga paksa mula sa geopolitics at balita sa industriya hanggang sa mga artikulo tungkol sa iba pang mga grupo ng hacker o pagsasamantala sa mga broker. Ang mga nag-ambag para sa Techsporut ay lahat ay gumawa ng mga pagkakakilanlan sa mga hacker na kumukuha ng mga larawan ng mga tunay na mamamahayag. Ang isang karaniwang paksa sa ilan sa mga pekeng website ng Bahamut ay ang 2020 Sikh Referendum, na naging mainit na paksa sa India mula noong 2019.

Tulad ng para sa mga kagustuhan sa rehiyon, ang Bahamut ay naging mas aktibo sa mga rehiyon ng Gitnang Silangan at Timog Asya. Sa katunayan, ni-lock ng mga hacker ang ilan sa pag-download ng ilan sa kanilang nagbabantang application upang maging available lang para sa mga user sa United Arab Emirates habang ang ibang mga application ay itinago bilang mga application na may temang Ramadan o naka-link sa isang Sikh separatist movement.

Ang Bahamut ay Well-Funded

Ang Bahamut ay nagawang manatiling hindi natukoy sa loob ng mahabang panahon, at habang ang ilan sa mga aktibidad nito ay kinuha ng mga mananaliksik ng infosec, sila ay naiugnay sa iba't ibang mga pangkat ng hack gaya ng EHDevel, Windshift, Urpage at ang White Company. Ang dahilan na nagbigay-daan sa Bahamut na makamit ang naturang seguridad sa pagpapatakbo ay ang malaking halaga ng trabaho na inilalagay sa bawat kampanya ng pag-atake at ang bilis kung saan binago nito ang mga kasangkot na imprastraktura at mga tool sa malware. Wala ring carry-over sa pagitan ng iba't ibang operasyon. Ayon sa mga mananaliksik ng BlackBerry, walang IP address o domain mula sa mga pag-atake ng Windows ang ginamit para sa phishing o mga kampanya sa mobile at vice verse. Tiniyak din ng Bahamut na ang aktibidad nito ay hindi nakatuon sa iisang hosting provider at gumagamit ng higit sa 50 iba't ibang provider sa kasalukuyan. Tulad ng itinuturo ng mga mananaliksik sa cybersecurity, ang pagkamit nito ay nangangailangan ng malaking pagsisikap, oras at pag-access sa mga mapagkukunan.