BAHAMUT APT
Bahamut, trong truyền thuyết Ả Rập là một con quái vật biển khổng lồ giúp hỗ trợ cấu trúc giữ trái đất, là cái tên được các nhà nghiên cứu tại BlackBerry đặt cho một nhóm hacker cực kỳ đe dọa. Các nhà nghiên cứu tin rằng do có nhiều mục tiêu khác nhau, Bahamut là Mối đe dọa liên tục nâng cao (APT) hoạt động như một lính đánh thuê được thuê bởi các cá nhân, tập đoàn hoặc thậm chí chính phủ. Một đặc điểm khác ủng hộ lý thuyết này là khả năng truy cập đáng kinh ngạc vào các nguồn tài nguyên mà tin tặc phải có để hỗ trợ các chiến dịch tấn công được thiết kế chính xác và nhắm mục tiêu cao của chúng. Trọng tâm chính của Bahamut là vào các cuộc tấn công lừa đảo, đánh cắp thông tin xác thực và một hoạt động rất bất thường đối với hoạt động truyền bá thông tin sai lệch của nhóm APT.
Mục lục
Bahamut thực hiện các cuộc tấn công lừa đảo được tinh chỉnh
Đối với các cuộc tấn công lừa đảo, Bahamut thể hiện sự chú ý đáng kinh ngạc đến từng chi tiết. Các tin tặc nhắm mục tiêu vào các cá nhân cụ thể và chúng quan sát được trong một thời gian dài, trong một số trường hợp, có thể kéo dài hơn một năm. Các tin tặc cũng đã chứng minh rằng chúng có khả năng tấn công tất cả các loại thiết bị. Bahamut đã thực hiện các chiến dịch sử dụng phần mềm độc hại Windows được chế tạo tùy chỉnh, cũng như khai thác các lỗ hổng zero-day khác nhau, trong khi các hoạt động gần đây của họ liên quan đến các cuộc tấn công chống lại điện thoại di động và thiết bị. Các tin tặc thể hiện kiến thức sâu rộng về cả iOS và Android. Họ đã quản lý để đặt trực tiếp chín ứng dụng đe dọa trên AppStore, trong khi toàn bộ các ứng dụng Android có thể được quy cho họ thông qua dấu vân tay duy nhất được các nhà nghiên cứu infosec phát hiện. Để vượt qua một số biện pháp bảo vệ do Apple và Google đặt ra, Bahamut tạo ra các trang web có giao diện chính thức bao gồm Chính sách quyền riêng tư và thậm chí cả Điều khoản dịch vụ bằng văn bản cho từng ứng dụng. Tất cả các ứng dụng do Bahamut phân phối đều có chức năng cửa hậu, nhưng các khả năng cụ thể của chúng khác nhau giữa các ứng dụng. Nhìn chung, tập hợp các ứng dụng đe dọa có thể kiểm soát hoàn toàn thiết bị bị xâm phạm. Những kẻ tấn công có thể liệt kê các loại tệp được lưu trữ trên thiết bị và lấy ra bất kỳ loại tệp nào lọt vào mắt của chúng. Ngoài ra, Bahamut có thể:
- Truy cập thông tin thiết bị,
- Truy cập hồ sơ cuộc gọi,
- Truy cập danh bạ,
- Truy cập hồ sơ cuộc gọi và tin nhắn SMS
- Ghi âm cuộc gọi điện thoại,
- Ghi lại video và âm thanh,
- Theo dõi vị trí GPS.
Bahamut chịu trách nhiệm về các chiến dịch thông tin
Khía cạnh khác trong các hoạt động đe dọa của Baahamut cho thấy mức độ cam kết tương tự và sự chú ý đến từng chi tiết. Nhóm APT hoàn thiện các trang web dành riêng cho việc phát tán thông tin giả mạo. Để làm cho chúng hợp pháp hơn, các tin tặc cũng tạo ra các nhân vật giả mạo trên mạng xã hội. Nhóm thậm chí đã mua tên miền của một trang web tin tức công nghệ hợp pháp từng có tên là Techsprouts và hồi sinh nó để phục vụ nhiều chủ đề từ địa chính trị và tin tức ngành cho đến các bài báo về các nhóm hacker khác hoặc các nhà môi giới khai thác. Những người đóng góp cho Techsporut đều đã tạo ra danh tính với những tin tặc chụp ảnh các nhà báo thực sự. Một chủ đề phổ biến giữa một số trang web giả mạo của Bahamut là Cuộc trưng cầu dân ý của người Sikh năm 2020, đã trở thành một chủ đề nóng ở Ấn Độ kể từ năm 2019.
Đối với các ưu đãi trong khu vực, Bahamut đã hoạt động tích cực hơn ở các khu vực Trung Đông và Nam Á. Trên thực tế, các tin tặc đã khóa một số khu vực tải xuống một số ứng dụng đe dọa của họ để chỉ có sẵn cho người dùng ở Các Tiểu vương quốc Ả Rập Thống nhất trong khi các ứng dụng khác được ngụy trang thành các ứng dụng theo chủ đề Ramadan hoặc được liên kết với phong trào ly khai theo đạo Sikh.
Bahamut được tài trợ tốt
Bahamut có thể không bị phát hiện trong một khoảng thời gian đáng kể và trong khi một số hoạt động của nó được các nhà nghiên cứu infosec thu thập, chúng được cho là do các nhóm hack khác nhau như EHDevel, Windshift , Urpage và White Company. Lý do đã cho phép Bahamut đạt được sự bảo mật hoạt động như vậy là khối lượng công việc đáng kể được đưa vào mỗi chiến dịch tấn công và tốc độ thay đổi cơ sở hạ tầng liên quan và các công cụ phần mềm độc hại. Cũng không có chuyển tiếp giữa các hoạt động khác nhau. Theo các nhà nghiên cứu của BlackBerry, không có địa chỉ IP hoặc tên miền nào từ các cuộc tấn công của Windows đã được sử dụng cho các chiến dịch lừa đảo hoặc di động. Bahamut cũng đã đảm bảo rằng hoạt động của mình không tập trung vào một nhà cung cấp dịch vụ lưu trữ duy nhất và hiện đang sử dụng hơn 50 nhà cung cấp khác nhau. Như các nhà nghiên cứu an ninh mạng chỉ ra, để đạt được điều này đòi hỏi nỗ lực, thời gian và khả năng tiếp cận các nguồn lực đáng kể.
