Hack-for-Hire Group Bahamut paljastettu

Hack-for-Hire Group Bahamut paljastettu



BlackBerry's Research and Intelligence Team -tutkijat ovat valaistaneet hämmästyttävän hienostunutta hakkeroitavaa ryhmää. Ryhmä, nimeltään Bahamut, juutalais-kristillisen Behemothin arabiaksi vastaava, käyttää useita taktiikoita ensisijaisesti Lähi-idän ja Etelä-Aasian hallituksiin ja yrityksiin. Taktiikka sisältää räätälöityjen haittaohjelmien ja nollapäivähyötyjen käytön, mutta käytettävät tietojenkalastelu- ja sosiaalitekniikan taktiikat ansaitsevat erityisen huomion siitä, että kohdennetut hoitokampanjat suunnitellaan uhrien virittämiseksi.

raportti , otsikolla BAHAMUT: Hack-for-Hire Masters of Phishing, Fake News, and Fake Apps, osoittaa, että Bahamutin toiminta näyttää olevan peräisin ainakin vuodelta 2016. Ryhmän toiminnoista on tiivistellyt tiedot Blackberryn tutkimustoiminnan johtaja Eric Milam. , joka pani merkille





'Haitallisen toiminnan hienostuneisuus ja pelkkä laajuus, jonka tiimimme pystyi yhdistämään Bahamutiin, on hämmästyttävää. Ryhmä ei ole vain vastuussa useista ratkaisemattomista tapauksista, jotka ovat vaivanneet tutkijoita vuosien ajan, mutta huomasimme myös, että Bahamut on takana useita erittäin kohdennettuja ja monimutkaisia ​​tietojenkalastelu- ja tunnistetietojen keräyskampanjoita, satoja uusia Windowsin haittaohjelmanäytteitä, nollan käyttöä -päivän hyväksikäytöt, rikostorjunnan vastaiset AV-veronkierron taktiikat ja paljon muuta. '

Vaikka Bahamutin käyttämä taktiikka ei välttämättä ole uusi, niiden käyttötapa erottaa hakkeroitavat ryhmät potentiaalisista kilpailijoista. Esimerkiksi ryhmät käyttävät nollapäivän hyväksikäytöt , haavoittuvuudet, jotka löytyvät ohjelmistoista, joista myyjä ei ole tietoinen, ei ole tehty mielijohteella. Niiden käyttö sijoittaa ryhmän myös maailman kehittyneimpiin hakkereihin. Mukautettujen haittaohjelmien käyttö osoittaa myös, kuinka ammattitaitoisia ryhmän operaattorit ovat.



bahamutin hakkerointiryhmä paljastui

asenna ubuntu flash -asemaan

Sekä nollapäivien että mukautettujen haittaohjelmavaihtoehtojen käyttöä pidetään kuitenkin usein viimeisenä keinona, ryhmä näyttää mieluummin vaarantavan verkkoja varastettujen kirjautumistietojen kautta. Täällä Bahamut, joka käyttää oveluutta ja huomiota yksityiskohtiin sosiaalisen tietojenkalastelun ja sosiaalisen suunnittelun kampanjoissa, erottaa ryhmän ehdottomasti muista hakkereista.

Tutkijoiden mielestä tärkein syy, miksi ryhmä käyttää nollapäiviä ja haittaohjelmia viimeisenä keinona, on se, että niiden käytöstä jää väistämättä taaksepäin todisteita, joiden avulla voidaan koota kattava kuva, joka voi auttaa organisaatioita estämään Bahamutin toiminnan uhreja. Mukautettujen haittaohjelmien käyttö tekee hyökkäyksistä omistamisen helpommaksi tutkijoille, ja virustentorjuntatoimittajat voivat sitten luoda haittaohjelmien havaitsemis- ja korjaussäännöt.

Nollapäivät voidaan myös korjata, kun niiden käyttö havaitaan. Tietojenkalastelu- ja sosiaalitekniikan taktiikoilla ryhmä voi pysyä varjossa paljon tehokkaammin, koska on helpompaa jäädä huomaamatta niiden käytön kautta, kun uhrit huijataan luovuttamaan tärkeitä valtakirjoja, jotka lopulta johtavat organisaation kompromissiin.

Kätevyys ja hoito

Kuten edellä mainittiin, ryhmän tietojenkalastelu- ja sosiaalitekniikan taktiikat ansaitsevat erityisen maininnan. Aiemmin tällä alustalla olemme tarkastelleet miten tuhoisa disinformaatio ja väärennetyt uutiskampanjat voivat olla samoin kuin miten kannattava ne voivat olla. Bahamut näyttää myös oppineen tämän oppitunnin ja hallitsemaan tämän pimeän taiteen näkökohtia. Bahamut on myös kärsivällinen, joissakin tapauksissa ryhmä seurasi kohdennettuja verkkoja yli vuoden ajan.

Kaikkia tietoja, jotka on kerätty uhrin verkon valvonnasta, käytetään kehitettävän väärennettyjen verkkosivustojen verkostoon. Sivustot ovat sinänsä asiantuntevasti muotoiltuja ja räätälöityjä, jotta uhrit saadaan paremmin kiinni, mikä lisää hyökkäyskampanjoiden legitiimiyttä. Luodaan myös enemmän kuin vain verkkosivustojen verkoston kehittäminen, sovelluksia ja ainutlaatuisia online-henkilöitä. Jälleen tätä väärää tietoa sisältävää hämähäkinverkkoa käytetään määrittämään, mitä kohteen työntekijät todennäköisesti napsauttavat. Kunkin väärennetyn verkkosivuston tuottama liikenne voidaan sitten kääntää tehokkaampien tietokalastuskampanjoiden luomiseksi, jotka on kohdennettu hyperrekisteröimään tunnistetiedot tehokkaammin.

Esimerkiksi yhdessä tapauksessa Bahamut otti haltuunsa todellisen verkkotunnuksen entiselle todelliselle teknologian ja tietoturvan verkkosivustolle ja käytti sitä julkaisemaan geopolitiikkaa, tutkimusta ja teollisuusuutisia käsitteleviä artikkeleita, jotka sisälsivät kirjoittajaprofiileja. Kirjoittajat käyttivät väärennettyjä henkilöitä, mutta he käyttivät todellisten toimittajien kuvia. Ensimmäinen yhteys Bahamutiin tapahtuu sosiaalisen median kanavilla, kuten LinkedIn, tai kohdennettujen valeuutisten kautta. Tätä tietoa käytetään edelleen luotettavamman sisällön luomiseen ansaan uhreille. Useimmissa tapauksissa kohdennetut eivät näe kopioitua sisältöä, mutta käsittelevät alkuperäistä sisältöä. Se, mitä ihmisille käsketään etsimään tietojenkalasteluista, puuttuu haitallisista linkeistä, huonosti suunnitelluista verkkosivustoista, mikä ei aiheuta hälytystä. Tässä määrin ryhmä hallinnoi useita väärennettyjen uutisten verkkosivustoja.

Niin vakuuttava oli väärennetty sisältö, että yhden heistä peräisin oleva artikkeli esiteltiin laillisena lähteenä Irlannin kansallisen kyberturvallisuuskeskuksen vuonna 2019 julkaisemassa alan uutishälytyksessä. Kuten edellä mainittiin, tämä tehdään parempien tietojen keräämiseksi. Tätä varten ryhmä luo väärennettyjä kirjautumissivuja valtion virastojen kirjautumistunnukset, yksityiset sähköpostitilit ja tiliportaalit Microsoft Live, Gmail, Apple ID, Yahoo !, Twitter, Facebook, Telegram, OneDrive ja Proton Mail. Tässäkin jengi saattoi osoittaa äärimmäistä kärsivällisyyttä joidenkin näiden keihäs-phishing-kampanjoiden kanssa, jotka veivät kuukausia. Jotkut vievät myös tunteja riippuen niiden tehokkuudesta. Lisäksi Bahamut on valmis oppimaan virheistä ja seuraa aktiivisesti InfoSec-yhteisöä, kun sen toimet havaitaan. Jos havainto tapahtuu, ryhmä muuttaa taktiikkaa, mikä tekee taisteluista hyökkäysten määrittelemisen entistä raskaampaa.

Haitalliset mobiilisovellukset

Bahamutin luoman väärennettyjen uutisten ja sisältöimperiumin ohella haitallisia mobiilisovelluksia käytetään takaoven luomiseen uhrien laitteille. Tässäkin tapauksessa Bahamut käsittelee jokaisen sovelluksen sellaisella hoitotasolla, jota harvoin nähdään ja käytetään tiettyjen ryhmien kohdentamiseen. Sekä Apple- että Android-laitteet on kohdennettu, ja sovelluksiin sisältyy tietosuojakäytäntö, joka ei vain huijaa uhreja, vaan myös sovelluskaupat, jotka jakavat sovellusta. BlackBerryn julkaisema raportti sisältää laajan luettelon näistä haitallisista sovelluksista, ja Bahamutin työntekijöiden luomien ja ylläpitämien sovellusten määrä on vaikuttava.

Kun se on asennettu laitteeseen, sovelluksesta tulee tosiasiallisesti laitteen takaovi, jonka avulla työntekijät voivat seurata uhrien kaikkea toimintaa, kuten kykyä lukea heidän viestejään, kuunnella puheluitaan, tarkkailla heidän sijaintiaan ja muuta vakoilutoimintaa. Huolimatta siitä, että sovellusten tekijät ovat pitäneet huomaamatta ja vaikeasti kiinnitettävissä Bahamutin lippuun, tutkijat ovat onnistuneet osoittamaan sovellukset Bahamutille. Tämä ei vähäinen saavutus tehtiin analysoimalla virheitä, jotka sovelluksia luoneet tekivät tutkijat,

'Ryhmälle, joka historiallisesti erottautuu keskimääräistä korkeamman toimintavarmuuden ja erittäin ammattitaitoisen teknisen suorituskyvyn avulla, Bahamutin operaattorit ovat päivän lopulla edelleen ihmisiä. Vaikka heidän virheitään onkin ollut vähän, ne ovat myös osoittautuneet tuhoisiksi. BlackBerry havaitsi, että idioma 'vanhat tavat kuolevat' pätee edistyneimmillekin uhanalaisryhmille '

Kysymys jää, mihin tarkoitukseen käytetään niin paljon vaivaa pysyäkseen varjossa. Kun venäläiset hakkerit toivat disinformaation ja valeuutisten käsitteet ihmisten tietoon yrittäen vaikuttaa vaaleissa tarkoitus oli selvästi poliittinen, koska se heikensi geopoliittista kilpailijaa. Entä Bahamut? Nämä hyökkäykset, jotka on katsottu Bahamutille, osoittavat niin monenlaisia ​​etuja, maantieteellisiä alueita, poliittisia eroja ja talouden sektorien tutkijat päättelivät, että Bahamut toimii hakkereiden vuokrausorganisaationa. Käytännössä ne näyttävät toimivan kuin verkkopalkkasoturit, taitonsa ja toimintavarmuutensa vuokrattu niille, jotka ovat valmiita maksamaan ilosta. Kampanjoiden hoidon taso ja kampanjoiden taito huomioon ottaen voidaan vain olettaa, että Bahamutin palkkaamiseen liittyy mittava hintalappu.

Hallituksille, suuryrityksille ja uskomattoman varakkaille verkkovakoiluoperaatioiden ulkoistamiselle kolmannelle osapuolelle, kuten Bahamut, voi olla houkutteleva idea. Ryhmät keskittyvät huomaamatta jäämiseen ja korkean operatiivisen turvallisuuden soveltaminen kampanjoihin tarjoaa uskottavan kumoamisen tason. Tätä varten tutkijat päättivät,

Apple -laitteesi on lukittu turvallisuussyistä. sinua kehotetaan soittamaan numeroon

”Alan laajeneva kybervakoilutarina jatkuu epäilemättä pitkään omien elämiemme ohi ja määrittelee varmasti uudet normit kansainvälisissä suhteissa. Mutta kun tarinan uudet luvut kirjoitetaan, menneisyyden opetuksia ja varoituksia ei pidä unohtaa. Jorge Luis Borges muistutti meitä yhdestä heistä kuvauksessaan Bahamutista kuvitteellisten olentojen kirjassa. Lainatessaan Edward Lanen arabialaista yhteiskuntaa keskiajalla hän totesi, että Jumala loi Bahamutin tukemaan maata. Ja Jumala asetti vettä Bahamutin alle tukea varten ja veden alle pimeyttä. Mutta hän kirjoitti: 'Ihmiskunnan tieto pettää sen suhteen, mikä on pimeyden alla' (Borges, 1967). Silloinkin kun palkkasoturiryhmät näyttävät nousevan hetkeksi turvallisuustutkimuksessa, niiden todelliset sponsorit voivat pysyä ikuisesti pimeässä '