BAHAMUT APT
Arapça bilgisinde dünyayı tutan yapının desteklenmesine yardımcı olan devasa bir deniz canavarı olan Bahamut, BlackBerry'deki araştırmacılar tarafından son derece tehditkar bir hacker grubuna verilen isimdi. Araştırmacılar, çok çeşitli farklı hedefler nedeniyle Bahamut'un özel kişiler, şirketler ve hatta hükümetler tarafından kiralanan bir paralı asker olarak çalışan Gelişmiş Kalıcı Tehdit (APT) olduğuna inanıyor. Bu teoriyi destekleyen bir başka özellik de, hackerların son derece hedefli ve hassas şekilde hazırlanmış saldırı kampanyalarını desteklemek için sahip olmaları gereken kaynaklara inanılmaz erişimdir. Bahamut'un ana odak noktası, kimlik avı saldırıları, kimlik bilgisi hırsızlığı ve bir APT grubu için çok sıra dışı olan dezenformasyon yayma faaliyetidir.
İçindekiler
Bahamut İnce Ayarlı Oltalama Saldırıları Gerçekleştiriyor
Bahamut, oltalama saldırıları için ayrıntılara inanılmaz bir dikkat gösteriyor. Bilgisayar korsanları belirli kişileri hedef alır ve bazı durumlarda bir yıldan fazla sürebilen uzun bir süre boyunca gözlemlerler. Bilgisayar korsanları ayrıca tüm cihaz türlerine saldırabileceklerini de göstermiştir. Bahamut, özel hazırlanmış Windows kötü amaçlı yazılımları kullanan kampanyalar yürütürken, çeşitli sıfırıncı gün güvenlik açıklarından yararlanırken, son etkinliklerinde cep telefonlarına ve cihazlara yönelik saldırılar yer aldı. Bilgisayar korsanları hem iOS hem de Android hakkında derin bilgi sahibi olduklarını gösteriyor. Infosec araştırmacıları tarafından keşfedilen benzersiz parmak izleri aracılığıyla bir dizi Android uygulaması bunlara atfedilebilirken, dokuz tehdit edici uygulamayı doğrudan AppStore'a yerleştirmeyi başardılar. Bahamut, Apple ve Google tarafından yerleştirilen bazı güvenlik önlemlerini atlamak için, her bir uygulama için Gizlilik Politikaları ve hatta yazılı Hizmet Şartları içeren resmi görünümlü web siteleri hazırlar. Bahamut tarafından dağıtılan tüm uygulamalar arka kapı işlevine sahipti, ancak özel yetenekleri uygulamadan uygulamaya farklılık gösteriyordu. Bir bütün olarak, tehdit edici uygulamalar grubu, güvenliği ihlal edilmiş cihaz üzerinde tam kontrol sağlayabilir. Saldırganlar, cihazda depolanan dosya türlerini sıralayabilir ve gözlerine çarpanları dışarı çıkarabilir. Ayrıca Bahamut şunları yapabilir:
- Cihaz bilgilerine erişin,
- Çağrı kayıtlarına erişim,
- Kişilere erişim,
- Arama kayıtlarına ve SMS mesajlarına erişin
- Telefon görüşmelerini kaydetme,
- Video ve ses kaydedin,
- GPS konumunu izleyin.
Dezenformasyon Kampanyalarından Bahamut Sorumlu
Baahamut'un tehditkar operasyonlarının diğer yönü, aynı düzeyde bağlılık ve ayrıntılara gösterilen özeni gösteriyor. APT grubu, sahte bilgileri yaymaya adanmış eksiksiz web siteleri hazırlar. Onları daha meşru hale getirmek için, bilgisayar korsanları sahte sosyal medya kişilikleri de oluşturur. Grup, Techsprouts adlı bir zamanlar meşru bir teknoloji haber sitesinin alan adını bile satın aldı ve jeopolitik ve endüstri haberlerinden diğer hacker grupları veya istismar komisyoncuları hakkındaki makalelere kadar çok çeşitli konulara hizmet etmek için yeniden canlandırdı. Techsporut'a katkıda bulunanların tümü, gerçek gazetecilerin fotoğraflarını çeken bilgisayar korsanlarıyla kimlikler oluşturdu. Bahamut'un birçok sahte web sitesi arasında ortak bir konu, 2019'dan beri Hindistan'da önemli bir konu olan 2020 Sih Referandumudur.
Bölgesel tercihlere gelince, Bahamut Orta Doğu ve Güney Asya bölgelerinde daha aktif olmuştur. Aslında, bilgisayar korsanları bazı tehdit edici uygulamalarının indirilmesini yalnızca Birleşik Arap Emirlikleri'ndeki kullanıcılar için geçerli olacak şekilde bölge kilitledi, diğer uygulamalar ise Ramazan temalı uygulamalar olarak gizlendi veya bir Sih ayrılıkçı hareketiyle bağlantılıydı.
Bahamut İyi Finanse Edildi
Bahamut bir zaman önemli miktarda tespit edilmemiş kalır başardı ve bazı faaliyetlerinin INFOSEC araştırmacılar tarafından üzerine kaldırdı iken, böyle EHDevel gibi farklı kesmek gruplarına atfedilen edildi Windshift, Urpage ve White Company. Bahamut'un bu tür bir operasyonel güvenliği sağlamasının nedeni, her bir saldırı kampanyasına önemli miktarda çalışma ve ilgili altyapıyı ve kötü amaçlı yazılım araçlarını değiştirme hızıdır. Ayrıca farklı işlemler arasında taşıma yoktur. BlackBerry araştırmacılarına göre, kimlik avı veya mobil kampanyalar için Windows saldırılarından hiçbir IP adresi veya etki alanı kullanılmadı ve tam tersi. Bahamut ayrıca, faaliyetinin tek bir barındırma sağlayıcısına odaklanmamasını ve şu anda 50'den fazla farklı sağlayıcı istihdam etmesini sağlamıştır. Siber güvenlik araştırmacılarının da belirttiği gibi, bunu başarmak için önemli ölçüde çaba, zaman ve kaynaklara erişim gerekiyor.
