Kanadská technologická firma BlackBerry vydala investigatívnu správu, v ktorej podrobne opísala vysoko sofistikovanú APT skupinu s neobvykle širokým poľom pôsobnosti Bahamut. Pomenovanie dostala už v roku 2017 od žurnalistov z projektu Bellingcat – po morskej príšere, ktorá podľa rabskej tradície udržiava pokope štruktúru Zeme.
Členovia tejto skupiny sa podieľajú na početných hackerských aktivitách – od phishingu cez kyberšpionáž až po automatizované šírenie dezinformácií. Operujú predovšetkým na Blízkom východe a v južnej Ázii.
Ciele si nevyberajú
Medzi najvýznamnejšie ciele Bahamut patria vládne inštitúcie v Saudskej Arábii, Emirátoch a ďalších krajinách Perzského zálivu a taktiež významní zástupcovia súkromných spoločností južnej Ázie. Jej obeťami sú taktiež sikhskí separatisti v Indii či aktivisti v oblasti obhajoby ľudských práv.
Skupina pri distribúcii malvéru zneužíva zero-day zraniteľností v systéme Windows. Jednu z masívnych kampaní identifikoval už Kaspersky, prisúdenia sa jej však dostalo až teraz. Išlo o napadnutie editorského softvéru InPage, ktorý využívajú spravodajské portály v Pakistane či Indii.
Od malvéru po dezinformácie
Okrem toho sa Bahamut angažuje vo vývoji škodlivých mobilných aplikácií pre IOs aj Android. Výskumníci objavili viac než tucet takýchto aplikácií, medzi inými napríklad spravodajský kanál, funkciu pre monitoring zdravia, set islamských emoji, ochranu pred spamom či správcu hesiel.
Po ich stiahnutí užívateľ umožnil operátorovi získať prístup k hovorom, správam či GPS lokácii a nahrávať audio alebo video. Detailne premyslená architektúra aplikácií obsahovala dokonca aj zásady ochrany osobných údajov.
Zaujímavosťou je zapojenie skupiny do šírenia dezinformácii v spojitosti s tohtoročným referendom Sikhov v Indii. Hackerom sa okrem založenia falošných profilov na sociálnych médiách podarilo prebrať kontrolu nad portálom Techsprouts, preregistrovať jeho doménu a použiť ho na šírenie svojich vlastných správ prostredníctvom vyfabrikovaných prispievateľov.
Nič nenechali na náhodu
Rôzni experti sledovali aktivity Bahamut už niekoľko rokov, avšak vďaka jej sofistikovaným postupom nebolo jednoznačné, že zakaždým išlo o tú istú skupinu.
„Sofistikovanosť a rozsah škodlivých aktivít, ktoré náš tím dokázal prepojiť s Bahamutom, je ohromujúca,“ povedal pre Threat Post Eric Milam, vedúci výskumníkov v BlackBerry.
Hackeri pre každý operačný systém využívajú rôzne domény a IP adresy, každá škodlivá aplikácia beží na vlastnom serveri, hosting majú zabezpečený od viac než päťdesiat poskytovateľov.
Bahamut si týmito postupmi zaisťuje prevádzkovú kontinuitu svojich aktivít aj v prípade ohalenia či rozloženia jednej z kampaní. „Je to pravdepodobne nesmierne časovo náročné, nákladné a vyžaduje si to osobitnú pozornosť venovanú detailom,“ uvádza výskumná správa.
Hackeri na prenájom
Skutočné nebezpečenstvo ale predstavuje fakt, že ide zrejme o žoldniersku, dobre financovanú skupinu, ktorá ponúka svoje služby zákazníkovi s najvyššou ponukou odmeny. Zákazku tak môže prijať od akejkoľvek teroristickej organizácie či národného štátu.
Ako podotýka BlackBerry: „Aj keď sa zdá, že informácie o žoldnierskych skupinách po výskume na krátky čas vyplávajú na svetlo sveta, ich skutoční sponzori môžu navždy zostať v tme.“
Michael Andruch