Aktivitäten der Hackergruppe BAHAMUT aufgedeckt

BlackBerry, ein Anbieter von Sicherheitssoftware und -dienstleistungen für das IoT, veröffentlichte neue Forschungsergebnisse, die die Reichweite und Raffinesse einer der hartnäckigsten und noch nahezu unbekannten Bedrohungsakteure – BAHAMUT – hervorheben.

Den Forschern ist es gelungen, die Cyberspionage-Gruppe mit einer großen Anzahl von laufenden Angriffen gegen Regierungsbeamte, Organisationen und Unternehmer in Verbindung zu bringen. Gleichzeitig deckt der Bericht der Forscher ein riesiges Netzwerk zur Verbreitung von Falschinformationen auf, das darauf abzielt, bestimmte politische Bewegungen zu unterstützen oder die Arbeit von Regierungen und NGOs zu behindern.  

Der Bericht „BAHAMUT: Hack-for-Hire Masters of Phishing, Fake News, and Fake Apps“ bietet neue Einblicke in die Gruppe und zeigt, wie sie eine Vielzahl komplexer Desinformations-Kampagnen durchgeführt hat. Das Team fand heraus, dass BAHAMUT derzeit eine beträchtliche Anzahl von gefälschten Nachrichtenidentitäten nutzt – von betrügerischen Persönlichkeiten aus den sozialen Medien bis hin zur Entwicklung ganzer Nachrichten-Websites, die so aufgebaut sind, dass sie Falschinformationen enthalten – um bestimmte Vorhaben zu begünstigen und Informationen über Angriffsziele von hohem Wert zu gewinnen. 

„Die Raffinesse und das schiere Ausmaß der böswilligen Aktivitäten, die unser Team mit BAHAMUT in Verbindung bringen konnte, ist erschütternd”, sagte Eric Milam, VP, Research Operations bei BlackBerry. „Die Gruppe ist nicht nur für eine Vielzahl bislang ungelöster Fälle verantwortlich, die die Forscher seit Jahren beschäftigt haben. Wir haben auch herausgefunden, dass BAHAMUT hinter einer Reihe äußerst zielgerichteter und komplexer Phishing- und Credential Harvesting-Kampagnen, hunderten von neuen Windows-Malware-Samples, dem Einsatz von Zero-Day-Exploits, anti-forensischen/AV-Ausweichtaktiken und vielem mehr steckt.“ 

Der Bericht hebt auch die verstärkte Ausrichtung der Angreifer auf mobile Geräte hervor und zeigt, wie die Gruppe mehr als ein Dutzend Apps in den App Stores von Google Play und Apple iOS veröffentlicht hat. Gleichzeitig wird der Ansatz deutlich, wie BAHAMUT ausgemachte Ziele kompromittiert. Auffällig ist auch, dass trotz der Vielzahl an Angriffen und Zielen ein erkennbares Muster oder ein vereinheitlichendes Motiv fehlt. Die Forscher gehen davon aus, dass die Gruppe wahrscheinlich als Hack-for-Hire-Söldner agiert. 

„Dies ist eine ungewöhnliche Gruppe, da ihre operative Sicherheit weit über dem Durchschnitt liegt. Dies macht es schwer, sie wirklich für einzelne Attacken verantwortlich zu machen”, fügte Milam hinzu. „Sie verlassen sich auf Malware als letzten Ausweg, sind sehr geschickt im Phishing und nutzen gezielt Mobiltelefone von Einzelpersonen als Weg, um eine Organisation anzugreifen. Sie arbeiten sehr detailliert und sind vor allem geduldig – sie beobachten ihre Ziele teilweise länger als ein Jahr.“ 

Aufbau eines Imperiums gefälschter Nachrichten 

Der vielleicht markanteste Aspekt von BAHAMUTs Tradecraft, den BlackBerry entdeckte, ist die Verwendung origineller, sorgfältig gestalteter Websites, Apps und Personas, die die Gruppe selbst gestaltet hat. In mindestens einem Fall übernahm die Gruppe die Domain einer ursprünglich für die Informationssicherheit konzipierten Nachrichtenwebsite und begann, Inhalte mit Schwerpunkt auf Geopolitik, Forschung und Branchennachrichten über andere Hack-for-Hire-Gruppen und eine Liste von “Mitwirkenden” zu verbreiten. Diese Inhalte waren allesamt gefälscht, wurden aber mit Namen und Fotos realer Journalisten (einschließlich lokaler US-Nachrichtensprecher) veröffentlicht, um vertrauenswürdig zu erscheinen. In einigen Fällen wurden die von BAHAMUT eingerichteten “Nachrichten”-Seiten auch von Berichten in sozialen Medien und anderen Websites begleitet, um den Anschein der Legitimität zu erwecken. 

Bösartige mobile Anwendungen

Der Bericht deckte neun bösartige iOS-Anwendungen auf, die im Apple App Store erhältlich sind, sowie eine Reihe von Android-Anwendungen, die BAHAMUT direkt zugeordnet werden können. Diese basieren auf der Konfiguration und den vorgelegten einzigartigen Netzwerkdienst-Fingerabdrücken. Die Anwendungen waren mit ansprechend gestalteten Websites, entsprechenden Datenschutzrichtlinien und schriftlichen Nutzungsbedingungen ausgestattet. Diese Details halfen, dass sowohl die von Google als auch die von Apple ergriffenen Schutzmaßnahmen umgangen werden konnten. 

Die untersuchten Anwendungen waren für Ziele in den Vereinigten Arabischen Emiraten bestimmt, da der App-Download regional auf die Emirate beschränkt war. Darüber hinaus wurden die Themen der Apps auf den Ramadan oder die separatistische Bewegung der Sikhs zugeschnitten. Dies lässt darauf schließen, dass BAHAMUT bestimmte religiöse und politische Gruppen attackiert. 

Zusätzliche Schlüsselergebnisse im BAHAMUT-Bedrohungsbericht

Von Forschern nach der Open-Source-Nachrichtendienst-Website Bellingcat benannt, nutzt BAHAMUT öffentlich zugängliche Werkzeuge, imitiert andere Bedrohungsgruppen und ändert häufig seine Taktik, was die Zuschreibung in der Vergangenheit schwierig gemacht hat. BlackBerry berichtet, dass die Bedrohungsgruppe hinter Exploits steckt, die von über 20 verschiedenen Sicherheitsfirmen und gemeinnützigen Organisationen unter den Namen EHDEVEL, WINDSHIFT, URPAGE, THE WHITE COMPANY und vor allem hinter der namenlosen Bedrohungsgruppe in Kasperskys “InPage Zero-Day”-Forschung von 2016 untersucht wurden.

Der Bericht beinhaltet folgende weitere Beobachtungen:

• Mindestens ein Zero-Day-Entwickler verfügt über ein Qualifikationsniveau, das über das der meisten anderen heute bekannten Bedrohungsakteure hinausgeht.
• Phishing und Credential Harvesting zielen auf sehr präzise Ziele ab. Vor einem Angriff werden konzertierte und robuste Aufklärungsoperationen auf Ziele durchgeführt.
• Eine Reihe von Instrumenten, Taktiken und Zielen lässt vermuten, dass die Gruppe über hohe finanzielle Ressourcen verfügt, technisch gut ausgestattet und in der Sicherheitsforschung verwurzelt ist.

Der Bericht sollte hier zum Download verfügbar sein.

www.blackberry.com/de