BAHAMUT APT

BAHAMUT APT-Beschreibung

Bahamut, in der arabischen Überlieferung ein gigantisches Seemonster, das zur Unterstützung der Struktur der Erde beitrug, war der Name, den die Forscher von BlackBerry einer äußerst bedrohlichen Hacker-Gruppe gaben. Die Forscher glauben, dass Bahamut aufgrund der Vielzahl unterschiedlicher Ziele eine Advanced Persistent Threat (APT) ist, die als Söldner fungiert, der von Privatpersonen, Unternehmen oder sogar Regierungen angeheuert wird. Ein weiteres Merkmal, das diese Theorie unterstützt, ist der unglaubliche Zugang zu Ressourcen, den die Hacker benötigen, um ihre zielgerichteten und präzise gestalteten Angriffskampagnen zu unterstützen. Bahamut konzentriert sich hauptsächlich auf Phishing-Angriffe, Diebstahl von Anmeldeinformationen und die für eine APT-Gruppe sehr ungewöhnliche Aktivität, Desinformation zu verbreiten.

Bahamut führt fein abgestimmte Phishing-Angriffe durch

Bahamut zeigt für seine Phishing-Angriffe unglaubliche Liebe zum Detail. Die Hacker zielen auf bestimmte Personen ab und beobachten diese über einen längeren Zeitraum, der in einigen Fällen über ein Jahr dauern kann. Die Hacker haben auch gezeigt, dass sie alle Gerätetypen angreifen können. Bahamut hat Kampagnen mit maßgeschneiderter Windows-Malware durchgeführt und verschiedene Zero-Day-Schwachstellen ausgenutzt, während die jüngsten Aktivitäten Angriffe auf Mobiltelefone und Geräte beinhalteten. Die Hacker verfügen über fundierte Kenntnisse in iOS und Android. Es ist ihnen gelungen, neun bedrohliche Anwendungen direkt im AppStore zu platzieren, während ihnen eine ganze Reihe von Android-Anwendungen durch einzigartige Fingerabdrücke zugeordnet werden können, die von den Infosec-Forschern entdeckt wurden. Um einige der von Apple und Google getroffenen Sicherheitsvorkehrungen zu umgehen, erstellt Bahamut offiziell aussehende Websites, die Datenschutzrichtlinien und sogar schriftliche Nutzungsbedingungen für jede der Anwendungen enthalten. Alle von Bahamut vertriebenen Anwendungen verfügten über Backdoor-Funktionen, ihre spezifischen Funktionen waren jedoch von Anwendung zu Anwendung unterschiedlich. Insgesamt könnten die bedrohlichen Anwendungen die vollständige Kontrolle über das gefährdete Gerät übernehmen. Die Angreifer könnten die auf dem Gerät gespeicherten Dateitypen aufzählen und alle herausfiltern, die ihnen aufgefallen sind. Darüber hinaus kann Bahamut:

  • Zugriff auf Geräteinformationen,
  • Zugriff auf Anruflisten,
  • Zugang zu Kontakten,
  • Zugriff auf Anruflisten und SMS-Nachrichten
  • Telefonanrufe aufzeichnen,
  • Video und Audio aufnehmen,
  • Den GPS-Standort verfolgen.

Bahamut ist verantwortlich für Desinformationskampagnen

Der andere Aspekt der bedrohlichen Operationen von Bahamut zeigt das gleiche Maß an Engagement und Liebe zum Detail. Die APT-Gruppe erstellt komplette Websites, die sich der Verbreitung gefälschter Informationen widmen. Um sie legitimer zu machen, stellen die Hacker auch gefälschte Social-Media-Persönlichkeiten her. Die Gruppe kaufte sogar die Domain einer einst legitimen Tech-News-Site namens Techsprouts und belebte sie wieder, um eine ganze Reihe von Themen zu behandeln, von Geopolitik und Branchennachrichten bis hin zu Artikeln über andere Hacker-Gruppen oder Exploit-Broker. Die Mitarbeiter von Techsporut haben sich alle mit den Hackern identifiziert, die Fotos von echten Journalisten machten. Ein häufiges Thema unter mehreren gefälschten Websites Bahamuts ist das Sikh-Referendum 2020, das in Indien seit 2019 ein heißes Thema ist.

In Bezug auf regionale Präferenzen war Bahamut im Nahen Osten und in Südasien aktiver. Tatsächlich haben die Hacker den Download einiger ihrer bedrohlichen Anwendungen in der Region gesperrt, damit sie nur für Benutzer in den Vereinigten Arabischen Emiraten verfügbar sind, während andere Anwendungen als Anwendungen mit Ramadan-Thema getarnt oder mit einer Sikh-Separatistenbewegung verbunden waren.

Bahamut ist gut finanziert

Bahamut konnte für eine beträchtliche Zeitspanne unentdeckt bleiben, und während einige seiner Aktivitäten von Infosec-Forschern aufgegriffen wurden, wurden sie verschiedenen Hack-Gruppen wie EHDevel, Windshift, Urpage und der White Company zugeschrieben. Der Grund, der es Bahamut ermöglicht hat, eine solche Betriebssicherheit zu erreichen, ist der beträchtliche Arbeitsaufwand für jede Angriffskampagne und die Geschwindigkeit, mit der die beteiligten Infrastruktur- und Malware-Tools geändert wurden. Es gibt auch keine Übertragung zwischen verschiedenen Operationen. Laut BlackBerry-Forschern wurden keine IP-Adressen oder Domänen von Windows-Angriffen für Phishing- oder mobile Kampagnen verwendet und umgekehrt. Bahamut hat auch sichergestellt, dass seine Aktivitäten nicht auf einen einzigen Hosting-Anbieter konzentriert sind und beschäftigt derzeit über 50 verschiedene Anbieter. Wie die Cybersicherheitsforscher hervorheben, erfordert dies einen erheblichen Aufwand, Zeit und Zugang zu Ressourcen.