BAHAMUT APT
Bahamut, qui dans la tradition arabe était un monstre marin gargantuesque qui a aidé à soutenir la structure qui maintient la terre, était le nom donné par les chercheurs de BlackBerry à un groupe de hackers extrêmement menaçant. Les chercheurs pensent qu'en raison du large éventail de cibles différentes, Bahamut est une menace persistante avancée (APT) qui fonctionne comme un mercenaire embauché par des particuliers, des entreprises ou même des gouvernements. Une autre caractéristique soutenant cette théorie est l'accès incroyable aux ressources que les pirates doivent avoir pour soutenir leurs campagnes d'attaque hautement ciblées et conçues avec précision. Les Bahamut se concentrent principalement sur les attaques de phishing, le vol d'informations d'identification et l'activité très inhabituelle d'un groupe APT consistant à diffuser de la désinformation.
Table des matières
Bahamut mène des attaques de phishing perfectionnées
Pour ses attaques de phishing, Bahamut fait preuve d'une incroyable attention aux détails. Les hackers ciblent des individus spécifiques et qu'ils observent pendant une période prolongée qui, dans certains cas, peut durer plus d'un an. Les hackers ont également montré qu'ils sont capables d'attaquer tous les types d'appareils. Bahamut a mené des campagnes utilisant des logiciels malveillants Windows personnalisés et exploité diverses vulnérabilités zero-day, tandis que leurs activités récentes impliquaient des attaques contre des téléphones et des appareils mobiles. Les hackers démontrent une connaissance approfondie d'iOS et d'Android. Ils ont réussi à placer directement neuf applications menaçantes sur l'AppStore, tandis que toute une gamme d'applications Android peut leur être attribuée grâce à des empreintes digitales uniques découvertes par les chercheurs d'Infosec. Pour contourner certaines des garanties mises en place par Apple et Google, Bahamut conçoit des sites Web d'apparence officielle qui incluent des politiques de confidentialité et même des conditions d'utilisation écrites pour chacune des applications. Toutes les applications distribuées par Bahamut avaient des fonctionnalités de porte dérobée, mais leurs capacités spécifiques différaient d'une application à l'autre. Dans son ensemble, l'ensemble des applications menaçantes pourrait prendre le contrôle total de l'appareil compromis. Les attaquants pourraient énumérer les types de fichiers stockés sur l'appareil et exfiltrer ceux qui ont attiré leur attention. De plus, Bahamut peut:
- Accéder aux informations de l'appareil,
- Accéder aux enregistrements d'appels,
- Accéder aux contacts,
- Accéder aux enregistrements d'appels et aux messages SMS
- Enregistrer les appels téléphoniques,
- Enregistrer la vidéo et l'audio,
- Suivre la position GPS.
Bahamut est responsable des campagnes de désinformation
L'autre aspect des opérations menaçantes de Baahamut montre le même niveau d'engagement et d'attention aux détails. Le groupe APT crée des sites Web complets dédiés à la diffusion de fausses informations. Pour les rendre plus légitimes, les pirates créent également de fausses personnalités des médias sociaux. Le groupe a même acheté le domaine d'un site d'actualité technologique autrefois légitime appelé Techsprouts et l'a relancé pour servir tout un éventail de sujets allant de la géopolitique et des nouvelles de l'industrie aux articles sur d'autres groupes de hackers ou aux courtiers en exploitation. Les contributeurs de Techsporut ont tous créé des identités avec les pirates prenant des photos de vrais journalistes. Un sujet commun parmi plusieurs des faux sites Web des Bahamut est le référendum sikh 2020, qui est un sujet brûlant en Inde depuis 2019.
En ce qui concerne les préférences régionales, Bahamut a été plus active dans les régions du Moyen-Orient et de l'Asie du Sud. En fait, les pirates informatiques ont verrouillé une partie du téléchargement de certaines de leurs applications menaçantes pour qu'elles ne soient disponibles que pour les utilisateurs des Émirats arabes unis, tandis que d'autres applications étaient déguisées en applications sur le thème du Ramadan ou liées à un mouvement séparatiste sikh.
Bahamut est bien financé
Bahamut a pu rester indétectable pendant un temps considérable et, bien que certaines de ses activités aient été reprises par les chercheurs de l'Infosec, elles ont été attribuées à différents groupes de hack tels que EHDevel, Windshift , Urpage et la White Company. La raison qui a permis à Bahamut d'atteindre une telle sécurité opérationnelle est la quantité de travail considérable consacrée à chaque campagne d'attaque et la rapidité avec laquelle elle modifie l'infrastructure et les outils malveillants impliqués. Il n'y a pas non plus de report entre les différentes opérations. Selon les chercheurs de BlackBerry, aucune adresse IP ou domaine d'attaques Windows n'a été utilisé pour des campagnes de phishing ou mobiles et vice versa. Bahamut a également veillé à ce que son activité ne soit pas concentrée sur un seul fournisseur d'hébergement et emploie actuellement plus de 50 fournisseurs différents. Comme le soulignent les chercheurs en cybersécurité, y parvenir nécessite des efforts, du temps et un accès aux ressources considérables.
