BAHAMUT APT

BAHAMUT APT Descripción

Bahamut, que en la tradición árabe era un gigantesco monstruo marino que ayudó a sostener la estructura que sostiene la tierra, fue el nombre que los investigadores de BlackBerry le dieron a un grupo de hackers extremadamente amenazante. Los investigadores creen que debido a la amplia gama de objetivos diferentes, Bahamut es una Amenaza Persistente Avanzada (APT) que opera como un mercenario contratado por individuos privados, corporaciones o incluso gobiernos. Otra característica que respalda esta teoría es el increíble acceso a los recursos que los piratas informáticos deben tener para respaldar sus campañas de ataque altamente dirigidas y diseñadas con precisión. Bahamut se centra principalmente en los ataques de phishing, el robo de credenciales y la actividad muy inusual de un grupo de APT de difundir desinformación.

Bahamut lleva a cabo ataques de phishing ajustados

Para sus ataques de phishing, Bahamut muestra una increíble atención al detalle. Los piratas informáticos se dirigen a personas específicas y observan durante un período prolongado que, en algunos casos, puede durar más de un año. Los hackers también han demostrado que son capaces de atacar todo tipo de dispositivos. Bahamut ha llevado a cabo campañas que emplean malware de Windows personalizado, además de explotar varias vulnerabilidades de día cero, mientras que sus actividades recientes han involucrado ataques contra teléfonos y dispositivos móviles. Los piratas informáticos demuestran un profundo conocimiento tanto de iOS como de Android. Han logrado colocar nueve aplicaciones amenazantes en la AppStore directamente, mientras que una amplia gama de aplicaciones de Android se les puede atribuir a través de huellas digitales únicas descubiertas por los investigadores de infosec. Para eludir algunas de las salvaguardas colocadas por Apple y Google, Bahamut crea sitios web de apariencia oficial que incluyen Políticas de privacidad e incluso Términos de servicio escritos para cada una de las aplicaciones. Todas las aplicaciones distribuidas por Bahamut tenían funcionalidad de puerta trasera, pero sus capacidades específicas diferían de una aplicación a otra. En su conjunto, el conjunto de aplicaciones amenazantes podría tomar el control total sobre el dispositivo comprometido. Los atacantes podrían enumerar los tipos de archivos almacenados en el dispositivo y exfiltrar los que llamaran su atención. Además, Bahamut puede:

  • Acceder a la información del dispositivo,
  • Acceder a registros de llamadas,
  • Acceder a contactos,
  • Acceder a registros de llamadas y mensajes SMS
  • Grabar llamadas telefónicas,
  • Grabe video y audio,
  • Rastrea la ubicación del GPS.

Bahamut es responsable de las campañas de desinformación

El otro aspecto de las amenazadoras operaciones de Baahamut muestra el mismo nivel de compromiso y atención al detalle. El grupo APT crea sitios web completos dedicados a difundir información falsa. Para hacerlos más legítimos, los piratas informáticos también crean personalidades falsas en las redes sociales. El grupo incluso compró el dominio de un sitio de noticias de tecnología que alguna vez fue legítimo llamado Techsprouts y lo revivió para servir una amplia gama de temas, desde geopolítica y noticias de la industria hasta artículos sobre otros grupos de piratas informáticos o agentes de explotación. Todos los colaboradores de Techsporut han creado identidades con los piratas informáticos que toman fotografías de periodistas reales. Un tema común entre varios de los sitios web falsos de Bahamut es el Referéndum Sikh de 2020, que ha sido un tema candente en la India desde 2019.

En cuanto a las preferencias regionales, Bahamut ha sido más activo en las regiones de Oriente Medio y Asia meridional. De hecho, los piratas informáticos bloquearon la descarga de algunas de sus aplicaciones amenazantes para que solo estuvieran disponibles para usuarios en los Emiratos Árabes Unidos, mientras que otras aplicaciones se disfrazaron como aplicaciones con temática de Ramadán o se vincularon a un movimiento separatista sij.

Bahamut está bien financiado

Bahamut pudo pasar desapercibido durante un período de tiempo considerable y, aunque algunos de sus actividades fueron detectadas por investigadores de seguridad de la información, se atribuyeron a diferentes grupos de piratería informática como EHDevel, Windshift , Urpage y White Company. La razón que ha permitido a Bahamut lograr tal seguridad operativa es la considerable cantidad de trabajo que se dedica a cada campaña de ataque y la velocidad con la que cambia la infraestructura involucrada y las herramientas de malware. Tampoco hay traspaso entre diferentes operaciones. Según los investigadores de BlackBerry, no se han utilizado direcciones IP o dominios de ataques de Windows para campañas de phishing o móviles y viceversa. Bahamut también se ha asegurado de que su actividad no se concentre en un solo proveedor de alojamiento y actualmente emplea a más de 50 proveedores diferentes. Como señalan los investigadores de ciberseguridad, lograrlo requiere un esfuerzo, tiempo y acceso a recursos considerables.