El grupo de amenazas &#39Bahamut&#39 apunta al gobierno y …



Los investigadores dicen que el grupo de ciberespionaje estuvo involucrado en varios ataques contra funcionarios gubernamentales y empresas en Oriente Medio y el sur de Asia.

Un grupo de ciberespionaje de piratería a sueldo llamado Bahamut está involucrado en ataques avanzados dirigidos a funcionarios y organizaciones gubernamentales con sofisticados ataques de recolección de credenciales y campañas de phishing, nuevas muestras de malware de Home windows, exploits de día cero y otras técnicas.

Los investigadores de BlackBerry que han estado siguiendo a Bahamut dicen que el grupo está motivado políticamente y tiene una amplia gama de objetivos. Históricamente, el grupo se ha dirigido a personas y entidades en el sur de Asia, particularmente en India y Pakistán, así como en el Medio Oriente, principalmente en los Emiratos Árabes Unidos y Qatar. Sus intereses siguen concentrados en el sur de Asia y el Golfo Pérsico, informan los investigadores.

En su informe más reciente, el equipo de BlackBerry se basa en una investigación publicada en 2018 que hace referencia a un grupo llamado «The White Business», explica el vicepresidente de operaciones de investigación Eric Milam. A través de esto, pudieron conectar más puntos y agregar hallazgos anteriores de otros investigadores que han seguido la actividad del grupo. Bahamut, nombrado por investigadores del sitio de inteligencia de código abierto Bellingcat, también ha sido llamado «Ehdevel,» Windshift «y Urpage».

A pesar de su variedad de objetivos y ataques, la falta de un patrón discernible o un motivo unificador lleva a los investigadores a creer que Bahamut probablemente esté actuando como operadores de piratería informática. Creen que el grupo tiene acceso a un desarrollador de día cero y ha aprovechado los exploits de día cero contra varios objetivos, «lo que refleja un nivel de habilidad mucho más allá de la mayoría de los otros grupos de actores de amenazas conocidos». los investigadores afirman en su informe.

«Bahamut ejecutó una selección de objetivos muy dispares en una serie de verticales y regiones geográficas, (lo que) sugiere un grupo mercenario de piratería a sueldo que actúa en interés de múltiples patrocinadores», dice Milam. La naturaleza variada de su actividad indica que el grupo probablemente tenga fines de lucro algunos hallazgos indican que ha incursionado en el mercado de inteligencia corporativa privada de India, dice.

Si bien la actividad de Bahamut en el Medio Oriente se ha dirigido a empresas privadas e individuos, la mayoría de sus ataques están dirigidos al gobierno. En Arabia Saudita fue tras siete ministerios diferentes y otras agencias, con un enfoque en la política monetaria y financiera. También apuntó a los Emiratos, Qatar, Bahrein y Kuwait, con énfasis en la política exterior y la defensa.

BlackBerry no enumeró la mayoría de los objetivos de Bahamut por su nombre, aunque proporcionó una lista common que incluye a activistas de derechos humanos de Oriente Medio, el Ministro de Energía de Arabia Saudita, la Unión de Bancos Árabes, periodistas y prensa extranjera en Egipto, Saudi Aramco y funcionarios del gobierno turco. .

Si bien la atribución es difícil, BlackBerry cree que Bahamut se encuentra cerca de las regiones contra las que opera y se dirige a personas, empresas, agencias gubernamentales, grupos de derechos humanos y grupos políticos en el sur de Asia y el Golfo, así como en Europa, África y China. .

Dentro de los ataques avanzados de Bahamut
El grupo adaptó sus ataques para cada objetivo según el sistema operativo y el medio de comunicación preferido de la víctima, dice Milam. Sus técnicas dependían de a quién intentaban engañar. Los funcionarios del gobierno, por ejemplo, fueron contactados a través de su correo electrónico particular antes de que los atacantes intentaran piratear sus cuentas laborales.

«Su habilidad comercial es excepcional, lo que significa que realmente han planificado cada paso y comprenden sus capacidades y sus objetivos», dice Milam.

El phishing y la recolección de credenciales están dirigidos a objetivos precisos y están impulsados ​​por una sólida operación de reconocimiento. Los investigadores descubrieron intentos de phishing diseñados para falsificar los inicios de sesión de las agencias gubernamentales, las cuentas de correo electrónico privadas y los portales de cuentas de Microsoft Stay, Gmail, Apple ID, Yahoo !, Twitter, Facebook, Telegram, OneDrive y ProtonMail.

Sus operaciones de spear-phishing variaron desde unas pocas horas hasta varios meses, dependiendo de las tasas de éxito. Esta tasa de cambio hace que la detección en tiempo actual sea «casi imposible», afirman los investigadores en su informe. Bahamut aprende de sus errores: el grupo monitorea la información publicada sobre ellos en la comunidad de seguridad. Cuando se expone, cambia su estrategia rápidamente.

La seguridad operativa de los atacantes hace que sea difícil rastrearlos, continúa Milam. La infraestructura de phishing y malware del grupo se mantiene separada y se cambia semanalmente, a veces a diario. Se sabe que reutiliza las herramientas y la infraestructura de otros grupos de APT y crea funciones anti-análisis en sus exploits y shellcode.

Bahamut a menudo united states malware disponible públicamente, lo que también impide los esfuerzos de atribución, pero Milam señala que united states principalmente malware como último recurso. El malware puede indicar que un atacante está en la red cuanto más tiempo esté el malware en un sistema, mayores serán sus posibilidades de ser detectado.

«Los atacantes a menudo pudieron lograr lo que querían (obtener información) a través de credenciales legítimas para servicios en línea», dice Milam. «Una vez que tenían acceso a las cuentas de correo electrónico principales, por lo standard podían mirar y obtener acceso a otros sistemas o portales en línea de interés».

Aplicaciones falsas y noticias falsas
Los ataques de Bahamut en el Medio Oriente adoptan un enfoque más amplio con aplicaciones móviles maliciosas, que según los investigadores parecen estar diseñadas para el público en basic. Sin embargo, las aplicaciones falsas dirigidas al sur de Asia eran en su mayoría de temática política y estaban dirigidas a grupos como Sikhs for Justice.

La investigación de BlackBerry descubrió nueve aplicaciones maliciosas de iOS y varias aplicaciones de Android que los expertos atribuyen al grupo en función de la configuración y las huellas dactilares de los servicios de pink únicos. Las aplicaciones incluían sitios world wide web, políticas de privacidad y términos de servicio, todo lo que los atacantes suelen pasar por alto, que los investigadores dicen que ayudaron a eludir las defensas de seguridad de Apple y Google.

Varias de estas aplicaciones de Android fueron creadas por diferentes desarrolladores. Incluían una aplicación para grabar llamadas telefónicas, reproductores de música, un reproductor de movie y una aplicación para notificar a los musulmanes sobre los tiempos de oración durante el Ramadán. Bahamut utilizó varios de sus propios sitios website para distribuir aplicaciones maliciosas.

Los investigadores encontraron que las aplicaciones que investigaron estaban destinadas a objetivos en los Emiratos Árabes Unidos, ya que sus descargas estaban restringidas a los Emiratos. Además, las aplicaciones con temática de Ramadán, así como las que invocan el movimiento separatista sij, indican la intención de apuntar a grupos políticos y religiosos.

Bahamut utiliza sitios world-wide-web cuidadosamente diseñados para distribuir noticias fraudulentas. En un caso, los atacantes se apoderaron de un sitio internet de ciberseguridad y publicaron artículos sobre investigación, geopolítica y noticias sobre otros grupos de piratería. Este sitio world-wide-web publicó una lista de colaboradores que eran falsos pero usaban nombres y fotos que pertenecían a periodistas reales. Algunos de sus sitios world wide web falsos intentaron aumentar su legitimidad con cuentas de redes sociales conectadas.

En muchos casos, los objetivos que leían los sitios world-wide-web originales de Bahamut leerían el contenido original, sin malware, phishing o enlaces maliciosos. La operación fue diseñada para adaptar los sitios web a los intereses de sus víctimas y, al hacerlo, hacer que parezcan lo más reales posible. El mejor interés de Bahamut, dicen los investigadores, era atraer objetivos a su «vasto imperio falso».

Kelly Sheridan es la editora de private de Dark Reading, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary