مجموعة التهديد ‘Bahamut’ تستهدف الحكومة و …

Sheridan IWK

يقول الباحثون إن مجموعة التجسس الإلكتروني متورطة في عدة هجمات ضد مسؤولين حكوميين وشركات في الشرق الأوسط وجنوب آسيا.

تشارك مجموعة التجسس الإلكتروني للقرصنة مقابل الاستئجار باسم Bahamut في هجمات متقدمة تستهدف المسؤولين الحكوميين والمؤسسات من خلال هجمات حصاد بيانات الاعتماد المتطورة وحملات التصيد ، وعينات جديدة من برامج Windows الضارة ، وعمليات استغلال يوم الصفر ، وتقنيات أخرى.

يقول باحثو بلاك بيري الذين كانوا يتتبعون جزر باهاموت إن المجموعة لها دوافع سياسية ولديها مجموعة واسعة من الأهداف. استهدفت المجموعة تاريخيًا أشخاصًا وكيانات في جنوب آسيا ، لا سيما الهند وباكستان ، بالإضافة إلى الشرق الأوسط ، وفي المقام الأول الإمارات العربية المتحدة وقطر. أفاد باحثون أن مصالحها لا تزال مركزة في جنوب آسيا والخليج الفارسي.

في أحدث تقرير له ، يبني فريق بلاك بيري على الأبحاث المنشورة في 2018 والتي تشير إلى مجموعة تسمى “الشركة البيضاء” ، كما يوضح نائب رئيس العمليات البحثية إريك ميلام. من خلال ذلك ، تمكنوا من ربط المزيد من النقاط وإضافة النتائج السابقة من الباحثين الآخرين الذين تتبعوا نشاط المجموعة. Bahamut ، الذي أطلق عليه باحثون مع موقع استخبارات مفتوح المصدر Bellingcat ، أطلق عليه أيضًا اسم “Ehdevel و” Windshift “و Urpage”.

على الرغم من نطاق الأهداف والهجمات ، فإن عدم وجود نمط واضح أو دافع موحد يقود الباحثين إلى الاعتقاد بأن Bahamut من المحتمل أن تعمل كمشغلين للقرصنة مقابل التوظيف. إنهم يعتقدون أن المجموعة لديها إمكانية الوصول إلى مطور واحد في يوم الصفر وقد استفادت من عمليات الاستغلال في يوم الصفر ضد أهداف متعددة ، “مما يعكس مستوى مهارة يتجاوز معظم مجموعات التهديد المعروفة الأخرى” ، ذكر الباحثون في تقريرهم.

“نفذت جزر الباهاموت استهدافًا شديد التباين عبر عدد من القطاعات والمناطق الجغرافية ، [which] تشير إلى وجود مجموعة مرتزقة تعمل لصالح رعاة متعددين “، كما يقول ميلام. تشير الطبيعة المتنوعة لنشاطها إلى أن المجموعة من المحتمل أن تحقق الربح ؛ وتشير بعض النتائج إلى أنها انخرطت في سوق استخبارات الشركات الخاصة في الهند ، يقول.

بينما استهدف نشاط جزر الباهاموت في الشرق الأوسط الشركات الخاصة والأفراد ، فإن معظم هجماته تستهدف الحكومة. في المملكة العربية السعودية ، سعى وراء سبع وزارات مختلفة ووكالات أخرى ، مع التركيز على السياسة النقدية والمالية. كما استهدفت الإمارات وقطر والبحرين والكويت ، مع التركيز على السياسة الخارجية والدفاع.

لم تُدرج بلاك بيري معظم أهداف جزر الباهاموت بالاسم ، على الرغم من أنها قدمت قائمة عامة تضم نشطاء حقوق الإنسان في الشرق الأوسط ، ووزير الطاقة السعودي ، واتحاد البنوك العربية ، والصحفيين والصحفيين الأجانب في مصر ، وأرامكو السعودية ، والمسؤولين الحكوميين الأتراك. .

في حين أن الإسناد صعب ، تعتقد BlackBerry أن جزر الباهاموت تقع بالقرب من المناطق التي تعمل ضدها وتستهدف الأشخاص والشركات والوكالات الحكومية ومجموعات حقوق الإنسان والجماعات السياسية في جنوب آسيا والخليج ، وكذلك في أوروبا وأفريقيا والصين. .

داخل هجمات باهاموت المتقدمة
يقول ميلام إن المجموعة صممت هجماتها لكل هدف اعتمادًا على نظام التشغيل المفضل للضحية ووسيلة الاتصال. تعتمد تقنياتها على من كانوا يحاولون التصيد الاحتيالي. على سبيل المثال ، تم الاتصال بالمسؤولين الحكوميين عبر بريدهم الإلكتروني الشخصي قبل أن يحاول المهاجمون اختراق حسابات عملهم.

يقول ميلام: “إن مهنتهم استثنائية ، بمعنى أنهم خططوا حقًا لكل خطوة وفهموا قدراتهم وأهدافهم”.

تهدف عمليات التصيد الاحتيالي وجمع بيانات الاعتماد إلى أهداف محددة وتغذيها عملية استطلاع قوية. اكتشف الباحثون محاولات التصيد الاحتيالي المصممة لانتحال عمليات تسجيل دخول الوكالات الحكومية وحسابات البريد الإلكتروني الخاصة وبوابات الحسابات من Microsoft Live و Gmail و Apple ID و Yahoo! و Twitter و Facebook و Telegram و OneDrive و ProtonMail.

تراوحت عمليات التصيد بالرمح من بضع ساعات إلى عدة أشهر ، اعتمادًا على معدلات النجاح. يقول الباحثون في تقريرهم إن معدل التغيير هذا يجعل الاكتشاف في الوقت الفعلي “مستحيلًا”. تتعلم Bahamut من أخطائها: تراقب المجموعة المعلومات المنشورة عنها في مجتمع الأمن. عند الكشف عنها ، فإنها تغير استراتيجيتها بسرعة.

يتابع ميلام أن الأمن التشغيلي للمهاجمين يجعل من الصعب تعقبهم. يتم الاحتفاظ بالبنية التحتية الخاصة بالتصيد الاحتيالي والبرامج الضارة للمجموعة منفصلة ويتم تغييرها أسبوعيًا – أحيانًا يوميًا. من المعروف أنها تعيد استخدام الأدوات والبنية التحتية لمجموعات APT الأخرى وتبني ميزات مضادة للتحليل في مآثرها ورمز القشرة.

غالبًا ما يستخدم Bahamut البرامج الضارة المتاحة للجمهور ، مما يعيق أيضًا جهود الإسناد ، لكن ميلام يشير إلى أنه يستخدم في الغالب البرامج الضارة كملاذ أخير. يمكن أن تشير البرامج الضارة إلى وجود مهاجم في الشبكة ؛ كلما طالت مدة وجود البرامج الضارة على النظام ، زادت فرص اكتشافها.

“تمكن المهاجمون في كثير من الأحيان من تحقيق ما يريدون [get information] يقول ميلام: “عبر بيانات الاعتماد الشرعية للخدمات عبر الإنترنت. وبمجرد وصولهم إلى حسابات البريد الإلكتروني الأساسية ، يمكنهم عمومًا مشاهدة الأنظمة الأخرى أو بوابات الإنترنت المهمة والوصول إليها.”

تطبيقات وهمية وأخبار مزيفة
تتخذ هجمات Bahamut في الشرق الأوسط نهجًا أوسع مع تطبيقات الأجهزة المحمولة الضارة ، والتي يقول الباحثون إنها مصممة للجمهور العام. ومع ذلك ، فإن التطبيقات المزيفة التي تستهدف جنوب آسيا كانت في الغالب ذات طابع سياسي وتستهدف مجموعات مثل Sikhs for Justice.

كشفت أبحاث BlackBerry عن تسعة تطبيقات iOS ضارة والعديد من تطبيقات Android التي ينسبها الخبراء إلى المجموعة بناءً على التكوين وبصمات خدمة الشبكة الفريدة. جاءت التطبيقات مع مواقع الويب وسياسات الخصوصية وشروط الخدمة – كل الأشياء التي يغفلها المهاجمون عادةً – والتي يقول الباحثون إنها ساعدت في تجاوز دفاعات أمان Apple و Google.

تم إنشاء العديد من تطبيقات Android هذه بواسطة مطورين مختلفين. وتضمنت تطبيقاً لتسجيل المكالمات الهاتفية ، ومشغلات موسيقى ، ومشغل فيديو ، وتطبيق لإعلام المسلمين بأوقات الصلاة خلال شهر رمضان. استخدمت Bahamut العديد من مواقعها الخاصة لتوزيع تطبيقات ضارة.

وجد الباحثون أن التطبيقات التي حققوا فيها كانت مخصصة لأهداف في الإمارات العربية المتحدة ، حيث اقتصرت تنزيلاتها على الإمارات. علاوة على ذلك ، تشير التطبيقات ذات الطابع الرمضاني ، وكذلك تلك التي تستدعي حركة السيخ الانفصالية ، إلى نية استهداف الجماعات السياسية والدينية.

يستخدم Bahamut مواقع الويب المصممة بعناية لتوزيع الأخبار الاحتيالية. في إحدى الحالات ، استولى المهاجمون على موقع ويب خاص بالأمن السيبراني ونشروا مقالات حول الأبحاث والجغرافيا السياسية والأخبار حول مجموعات القرصنة الأخرى. نشر هذا الموقع قائمة بالمساهمين المزيفين لكنهم استخدموا أسماء وصور لمراسلين حقيقيين. حاولت بعض مواقعها المزيفة تعزيز شرعيتها من خلال حسابات التواصل الاجتماعي المتصلة.

في كثير من الحالات ، فإن المستهدفين الذين يقرؤون مواقع الويب الأصلية لباهاموت يقرأون المحتوى الأصلي – لا برامج ضارة أو تصيد احتيالي أو روابط ضارة. تم تصميم العملية لتخصيص مواقع الويب وفقًا لمصالح ضحاياها ، وبذلك ، تجعلها تبدو حقيقية قدر الإمكان. ويقول الباحثون إن مصلحة جزر الباهاموت كانت جذب الأهداف إلى “إمبراطوريتها الوهمية الشاسعة”.

كيلي شيريدان هي محررة الموظفين في Dark Reading ، حيث تركز على أخبار الأمن السيبراني والتحليلات. وهي صحفية في مجال تكنولوجيا الأعمال عملت سابقًا في تقرير InformationWeek ، حيث غطت Microsoft ، و Insurance & Technology ، حيث غطت … مشاهدة السيرة الذاتية كاملة

اقتراحات للقراءة:

المزيد من الأفكار

قد يعجبك ايضا