БАХАМУТ КВ
Бахамут, який в арабській історії був величезним морським монстром, який допомагав підтримувати структуру, яка утримує землю, — так дослідники BlackBerry назвали надзвичайно небезпечну групу хакерів. Дослідники вважають, що через широкий спектр різних цілей, Бахамут є розширеною стійкою загрозою (APT), яка діє як найманець, найнятий приватними особами, корпораціями чи навіть урядами. Іншою характеристикою, що підтверджує цю теорію, є неймовірний доступ до ресурсів, які хакери повинні мати для підтримки своїх високоцільових і точно розроблених кампаній атак. Основна увага Бахамута зосереджена на фішингових атаках, крадіжці облікових даних і дуже незвичайній для групи APT діяльності щодо поширення дезінформації.
Зміст
Бахамут здійснює точні фішингові атаки
У своїх фішингових атаках Bahamut виявляє неймовірну увагу до деталей. Зловмисники націлені на конкретних осіб, за якими вони спостерігають протягом тривалого періоду, який у деяких випадках може тривати більше року. Хакери також показали, що вони здатні атакувати всі типи пристроїв. Бахамут проводив кампанії з використанням спеціально створених шкідливих програм Windows, а також використовував різні вразливості нульового дня, тоді як їхня нещодавня діяльність включала атаки на мобільні телефони та пристрої. Хакери демонструють глибоке знання як iOS, так і Android. Їм вдалося розмістити дев’ять загрозливих додатків безпосередньо в AppStore, в той час як цілий ряд додатків для Android можна віднести до них через унікальні відбитки пальців, виявлені дослідниками Infosec. Щоб обійти деякі запобіжні заходи, встановлені Apple і Google, Бахамут створює офіційні веб-сайти, які включають Політику конфіденційності та навіть письмові Умови використання для кожної з програм. Усі програми, які розповсюджує Bahamut, мали функцію бекдору, але їхні конкретні можливості відрізнялися від програми до програми. Загалом, набір загрозливих програм може повністю контролювати скомпрометований пристрій. Зловмисники могли перерахувати типи файлів, що зберігаються на пристрої, і вилучити будь-який, який попався їм на очі. Крім того, Бахамут може:
- Доступ до інформації про пристрій,
- Доступ до записів дзвінків,
- Доступ до контактів,
- Доступ до записів дзвінків і SMS-повідомлень
- Записуйте телефонні дзвінки,
- Запис відео та аудіо,
- Відстеження розташування GPS.
Бахамут відповідає за кампанії дезінформації
Інший аспект загрозливих операцій Баахамута показує такий самий рівень відданості та уваги до деталей. Група APT створює повні веб-сайти, присвячені поширенню фальшивої інформації. Щоб зробити їх більш легітимними, хакери також створюють фальшивих особистостей у соціальних мережах. Група навіть купила домен колись законного сайту новин про технології під назвою Techsprouts і відновила його, щоб обслуговувати цілий ряд тем від геополітики та новин промисловості до статей про інші хакерські групи або брокерів-експлойтів. Усі учасники Techsporut створили особу, а хакери фотографували справжніх журналістів. Поширеною темою серед кількох фальшивих веб-сайтів Бахамута є сикхський референдум 2020 року, який є актуальною темою в Індії з 2019 року.
Що стосується регіональних переваг, то Бахамут був більш активним у регіонах Близького Сходу та Південної Азії. Фактично, хакери заблокували деякі завантаження деяких із своїх загрозливих програм, щоб вони були доступні лише для користувачів в Об’єднаних Арабських Еміратах, тоді як інші програми були замасковані під програми на тему Рамадану або пов’язані з сикхським сепаратистським рухом.
Бахамут добре фінансується
Bahamut міг залишатися непоміченим протягом значної кількості часу, і хоча деякі з його діяльності були підхоплені дослідниками Infosec, їх приписували різним групам хакерів, таким як EHDevel, Windshift , Urpage і The White Company. Причина, яка дозволила Bahamut досягти такої операційної безпеки, полягає в тому, що значний обсяг роботи вкладається в кожну кампанію атаки та швидкість, з якою вона змінює задіяну інфраструктуру та інструменти шкідливого програмного забезпечення. Також немає перенесення між різними операціями. За словами дослідників BlackBerry, жодні IP-адреси чи домени від атак Windows не використовувалися для фішингу чи мобільних кампаній і навпаки. Bahamut також переконався, що його діяльність не зосереджена на одному хостинг-провайдері і наразі використовує понад 50 різних провайдерів. Як зазначають дослідники кібербезпеки, досягнення цього вимагає значних зусиль, часу та доступу до ресурсів.
