Domov Novinky Phishing, dezinformácie a falošné aplikácie na prenájom

Phishing, dezinformácie a falošné aplikácie na prenájom

Zdielať

Kanadská technologická firma BlackBerry vydala investigatívnu správu, v ktorej podrobne opísala vysoko sofistikovanú APT skupinu s neobvykle širokým poľom pôsobnosti Bahamut.

Pomenovanie dostala už v roku 2017 od žurnalistov z projektu Bellingcat – po morskej príšere, ktorá podľa rabskej tradície udržiava pokope štruktúru Zeme. Členovia tejto skupiny sa podieľajú na početných hackerských aktivitách – od phishingu cez kyberšpionáž až po automatizované šírenie dezinformácií. Operujú predovšetkým na Blízkom východe a v južnej Ázii. Medzi najvýznamnejšie ciele Bahamut patria vládne inštitúcie v Saudskej Arábii, Emirátoch a ďalších krajinách Perzského zálivu a taktiež významní zástupcovia súkromných spoločností južnej Ázie. Jej obeťami sú taktiež sikhskí separatisti v Indii či aktivisti v oblasti obhajoby ľudských práv.

Skupina pri distribúcii malvéru zneužíva zero-day zraniteľností v systéme Windows. Jednu z masívnych kampaní identifikoval už Kaspersky, prisúdenia sa jej však dostalo až teraz. Išlo o napadnutie editorského softvéru InPage, ktorý využívajú spravodajské portály v Pakistane či Indii. Okrem toho sa Bahamut angažuje vo vývoji škodlivých mobilných aplikácií pre iOS aj Android. Výskumníci objavili viac než tucet takýchto aplikácií, medzi inými napríklad spravodajský kanál, funkciu pre monitoring zdravia, set islamských emoji, ochranu pred spamom či správcu hesiel. Po ich stiahnutí používateľ umožnil operátorovi získať prístup k hovorom, správam či GPS lokácii a nahrávať audio alebo video. Detailne premyslená architektúra aplikácií obsahovala dokonca aj zásady ochrany osobných údajov.

Zaujímavosťou je zapojenie skupiny do šírenia dezinformácii v spojitosti s tohtoročným referendom Sikhov v Indii. Hackerom sa okrem založenia falošných profilov na sociálnych médiách podarilo prebrať kontrolu nad portálom Techsprouts, preregistrovať jeho doménu a použiť ho na šírenie svojich vlastných správ prostredníctvom vyfabrikovaných prispievateľov. Rôzni experti sledovali aktivity Bahamut už niekoľko rokov, avšak vďaka jej sofistikovaným postupom nebolo jednoznačné, že zakaždým išlo o tú istú skupinu. „Sofistikovanosť a rozsah škodlivých aktivít, ktoré náš tím dokázal prepojiť s Bahamutom, je ohromujúca,“ povedal pre Threat Post Eric Milam, vedúci výskumníkov v BlackBerry.

Hackeri pre každý operačný systém využívajú rôzne domény a IP adresy, každá škodlivá aplikácia beží na vlastnom serveri, hosting majú zabezpečený od viac než päťdesiat poskytovateľov. Bahamut si týmito postupmi zaisťuje prevádzkovú kontinuitu svojich aktivít aj v prípade ohalenia či rozloženia jednej z kampaní. „Je to pravdepodobne nesmierne časovo náročné, nákladné a vyžaduje si to osobitnú pozornosť venovanú detailom,“ uvádza výskumná správa. Skutočné nebezpečenstvo ale predstavuje fakt, že ide zrejme o žoldniersku, dobre financovanú skupinu, ktorá ponúka svoje služby zákazníkovi s najvyššou ponukou odmeny. Zákazku tak môže prijať od akejkoľvek teroristickej organizácie či národného štátu. Ako podotýka BlackBerry: „Aj keď sa zdá, že informácie o žoldnierskych skupinách po výskume na krátky čas vyplávajú na svetlo sveta, ich skutoční sponzori môžu navždy zostať v tme.“

Zdroj: CS