Hack-for-Hire Group Bahamut Uncovered

Hack-for-Hire Group Bahamut Uncovered



Forskare för BlackBerrys forsknings- och underrättelseteam har belyst en otroligt sofistikerad hack-for-hire-grupp. Gruppen, som heter Bahamut, den arabiska motsvarigheten till den judisk-kristna Behemoth, använder flera taktiker för att främst rikta sig mot regeringar och företag i Mellanöstern och Sydasien. Taktik inkluderar användning av anpassad skadlig kod och nolldagars utnyttjande, men det är phishing och socialteknik som används som förtjänar särskilt omnämnande för de vårdinriktade kampanjerna är utformade för att snara sina offer.

De Rapportera , med titeln BAHAMUT: Hack-for-Hire Masters of Phishing, Fake News och Fake Apps, visar att Bahamuts verksamhet verkar gå tillbaka till åtminstone 2016. Gruppens verksamhet har sammanfattats snyggt av Eric Milam, VP för forskningsverksamhet vid BlackBerry , som noterade,





“Den sofistikerade och stora omfattningen av skadlig aktivitet som vårt team kunde länka till Bahamut är häpnadsväckande. Gruppen är inte bara ansvarig för en rad olösta fall som har plågat forskare i flera år, men vi upptäckte också att Bahamut står bakom ett antal extremt riktade och utarbetade kampanjer för phishing och referenser, hundratals nya Windows-malware-prover, användning av noll -dagens utnyttjande, anti-kriminalteknisk AV-undvikelsestaktik och mer. ”

Även om taktiken som används av Bahamut kanske inte är ny, är det hur de används som skiljer hack-for-hire-gruppen från potentiella rivaler. Till exempel använder grupperna av noll-dagars utnyttjande , sårbarheter som finns i programvara som säljaren inte känner till, görs inte på ett infall. Deras användning placerar också gruppen bland världens mest sofistikerade hackare. Användningen av anpassad skadlig kod visar också hur skickliga gruppens operatörer är.



bahamut hacking group uncovered

linux kommando diskutrymme

Men användningen av både noll-dagar och anpassade skadliga programvarianter ses ofta som ett mått på sista utväg, gruppen verkar föredra att kompromissa med nätverk via stulna referenser. Här skiljer Bahamut sig med en nivå av list och uppmärksamhet på detaljer i sina sociala nätfiske- och socialteknik-kampanjer från gruppen från andra hackare.

Forskare tror att den främsta anledningen till att gruppen använder nolldagar och skadlig kod som en sista utväg är att deras användning oundvikligen lämnar bevis som kan användas för att sammanställa en heltäckande bild som kan hjälpa organisationer att förhindra att bli offer för Bahamuts handlingar. Vidare gör användningen av anpassad skadlig programvara att tillskriva attacker till en enklare uppgift för forskare såväl som antivirusleverantörer kan sedan skapa regler för upptäckt och avhjälpande av skadlig kod.

Nolldagar kan också lappas när användningen upptäcks. Genom att använda phishing och socialteknik kan gruppen förbli i skuggan mycket effektivare eftersom det är lättare att förbli oupptäckt genom deras användning eftersom offer luras att lämna viktiga uppgifter som så småningom leder till kompromiss mellan en organisation.

List och vård

Som nämnts ovan förtjänar gruppens användning av nätfiske och socialteknik taktik. Tidigare på denna plattform har vi tittat på hur förödande desinformation och falska nyhetskampanjer kan vara såväl som hur lönsam de kan vara. Bahamut verkar också ha lärt sig denna lektion och behärskat aspekter av denna mörka konst. Bahamut är också tålmodig, i vissa fall övervakade gruppen riktade nätverk i över ett år.

All information som samlas in från övervakningen av offrets nätverk används för att skapa ett detaljerat nätverk av falska webbplatser. Webbplatserna i sig är sakkunnigt utformade och skräddarsydda för att bättre fånga ett offer oskyddat och lägga till attackkampanjernas övergripande legitimitet. Mer än bara att utveckla ett nätverk av webbplatser, applikationer och unika onlinepersoner skapas också. Återigen används denna spindelnät med desinformation för att avgöra vilka anställda i målet som sannolikt kommer att klicka på. Trafiken som varje falsk webbplats genererar kan sedan vändas till att skapa effektivare phishing-kampanjer som är hyperinriktade för att skörda referenser mer effektivt.

I ett fall tog Bahamut till exempel över den verkliga domänen för en gång en riktig webbplats för teknik och informationssäkerhet och använde den för att driva ut artiklar om geopolitiken, forskningen och branschnyheterna, komplett med författarprofiler. Medan författarna använde falska personas använde de bilder av riktiga journalister. Första kontakten med Bahamut sker via sociala mediekanaler som LinkedIn eller genom riktade falska nyheter. Denna information används vidare för att skapa mer trovärdigt innehåll för snaroffer. I de flesta fall skulle de riktade inte se kopierat innehåll utan engagera sig i originalinnehållet. Vad folk uppmanas att leta efter i phishing-scenarier, skadliga länkar, dåligt utformade webbplatser, saknas och därmed väcker inget larm. I den utsträckningen skulle gruppen hantera flera falska nyhetswebbplatser.

Så övertygande var det falska innehållet att en artikel från en av dem presenterades som en legitim källa i en nyhetsvarning från Irland National Cyber ​​Security Center 2019. Som nämnts ovan görs allt detta för att bättre skörda uppgifter. För att göra detta skapar gruppen falska inloggningssidor inloggningar från myndigheter, privata e-postkonton och kontoportaler från Microsoft Live, Gmail, Apple ID, Yahoo !, Twitter, Facebook, Telegram, OneDrive och Proton Mail. Här igen kunde gänget uppvisa extrema nivåer av tålamod med några av dessa spjutfiske-kampanjer som tog månader. Vissa skulle också ta timmar beroende på hur effektiva de är. Vidare är Bahamut villig att lära av misstag och övervakar aktivt InfoSec-communityn när dess handlingar upptäcks. Om upptäckt inträffar kommer gruppen att ändra taktik, vilket gör striden om attributattacker ännu svårare.

Skadliga mobilappar

Tillsammans med de falska nyheterna och innehållsimperiet som skapats av Bahamut används skadliga mobilappar för att skapa bakdörrar på offrenheter. Här igen hantar Bahamut varje app med en omsorgsnivå som sällan ses och används för att rikta in sig på specifika grupper. Både Apple- och Android-enheter är riktade och appar levereras komplett med sekretesspolicyer för att inte bara lura offer utan även appbutiker som distribuerar appen. Rapporten publicerad av BlackBerry innehåller en omfattande lista över dessa skadliga appar och antalet av dessa appar som skapats och underhålls av Bahamut-operatörer är imponerande.

När appen väl har installerats på enheten blir den en bakdörr till enheten som gör det möjligt för operatörer att övervaka all aktivitet hos offren, såsom möjligheten att läsa deras meddelanden, lyssna på deras samtal, övervaka deras plats och annan spioneringsaktivitet. Trots den omsorg appens skapare har tagit för att förbli oupptäckta och svåra att knyta till Bahamuts flagga har forskare lyckats tillskriva appar till Bahamut. Denna inte lilla bedrift gjordes genom att analysera misstagen från de som skapade apparna med forskare som noterade,

”För en grupp som historiskt skiljer sig åt genom att använda övergripande operativ säkerhet och extremt skickliga tekniska förmågor, är Bahamut-operatörerna i slutändan fortfarande mänskliga. Även om deras misstag har varit få har de också visat sig förödande. BlackBerry fann att idiomet ”gamla vanor dör hårt” gäller även de mest avancerade hotgrupperna, ”

Frågan kvarstår, i vilket syfte spenderas så mycket ansträngningar för att stanna i skuggan. När ryska hackare förde begreppen desinformation och falska nyheter till folks uppmärksamhet med försök att påverka resultatet av val syftet var tydligt politiskt genom att det undergrävde en geopolitisk rival. Vad sägs om Bahamut? De attacker som har tillskrivits Bahamut visar ett så brett spektrum av intressen, geografier, politiska skillnader och ekonomiska sektorer. Forskare drog slutsatsen att Bahamut fungerar som en hacker-för-hyra-organisation. I praktiken verkar de fungera som cyber-legosoldater med sina kunskaper och operativa säkerhet hyrda ut till dem som är villiga att betala för nöjet. Med tanke på den omsorgsnivå som ges till kampanjer och skickligheten med vilka kampanjer som genomförs kan det bara antas att anställning av Bahamut kommer med en rejäl prislapp.

För regeringar, stora företag och den otroligt rika outsourcing av cyberspionageverksamhet till en tredje part som Bahamut kan vara en attraktiv idé. Grupperna fokuserar på att förbli oupptäckta och att tillämpa höga nivåer av operativ säkerhet på kampanjer ger en nivå av troligt avvisbarhet. I detta syfte drog forskarna slutsatsen att

personliga filer krypteras med ctb -skåp

”Den ständigt växande historien om cyberspionage kommer utan tvekan att fortsätta långt över våra egna livstider och kommer säkert att definiera nya normer i internationella relationer. Men när de nya kapitlen i den berättelsen är skrivna bör lärdomarna och varningarna från det förflutna inte glömmas bort. Jorge Luis Borges påminde oss om en av dem i sin beskrivning av Bahamut i The Book of Imaginary Beings. Citerar Edward Lanes Arabian Society under medeltiden och noterade att Gud skapade Bahamut för att stödja jorden. Och Gud placerade vatten under Bahamut för stöd och under vattnet, mörker. Men, skrev han, ”kunskapen om mänskligheten misslyckas vad som är under mörkret” (Borges, 1967). Även när legosoldatgrupper verkar dyka upp kort inom säkerhetsforskning kan deras sanna sponsorer för alltid förbli i mörkret ”