Ce rapport, intitulé « BAHAMUT : Hack-for-Hire Masters of Phishing, Fake News, and Fake Apps », apporte un nouvel éclairage sur ce groupe et montre comment celui-ci a pu déployer un vaste éventail de campagnes de désinformation sophistiquées. L’équipe de recherche et de renseignement de BlackBerry a découvert que BAHAMUT était actuellement à la tête d’un grand nombre d’instances de fake news, allant de profils frauduleux sur les réseaux sociaux au développement de sites web d’information complets conçus pour intégrés un grand nombre de fake news. L’objectif ? Faire avancer certaines causes mais aussi obtenir des informations sur des cibles de grande valeur.

« Le degré de sophistication et l’ampleur des activités malveillantes ayant pu être reliées à BAHAMUT par nos équipes sont stupéfiants », indique Eric Milam, VP, Research Operations chez BlackBerry. « Non seulement le groupe BAHAMUT est responsable de cas non résolus qui ont tourmenté les chercheurs pendant des années, mais nous avons également découvert que le groupe était à l’origine d’un certain nombre de campagnes de phishing et d’usurpation de documents d’identité extrêmement ciblées et élaborées, de centaines de nouveaux échantillons de logiciels malveillants Windows, d’utilisation de vulnérabilités dites « zero-day », de tactiques de contournements d’anti-virus, et plus encore ».

Le rapport révèle que les dispositifs mobiles sont plus particulièrement ciblés et explique comment ce groupe est parvenu à publier des douzaines d’applications sur les boutiques Google Play et Apple iOS App Stores. Mais surtout, le rapport souligne la patience dont le groupe fait preuve pour atteindre et compromettre ses cibles. En dépit de la diversité des cibles et des attaques, aucune trajectoire ni aucun mobile commun ne semble être définis, ce qui conduit BlackBerry à confirmer que le groupe agissait probablement comme des mercenaires « Hack-for-Hire ».

« La sécurité opérationnelle mise en place par ce groupe est bien plus élaborée que ce que nous pouvons voir habituellement, ce qui le rend difficile à cerner », ajoute M. Milam. « Ils ne font appel aux logiciels malveillants qu’en dernier recours et sont très habiles en matière de phishing. Ce groupe a tendance à cibler les téléphones portables de certaines personnes pour infiltrer une organisation et fait preuve aussi bien de patience que d’un souci du détail particulièrement développé. Dans certains cas, ces hackers ont attendu et surveillé leurs cibles pendant un an ou plus avant de passer à l’action ».

Construire un empire de l’information factice

La particularité des actions menées par le groupe est certainement l’utilisation de sites web, d’applications et de personnages originaux et minutieusement conçus. Il est déjà arrivé que le groupe prenne le contrôle de ce qui était à l’origine un site d’information dédié à la sécurité pour y diffuser des contenus axés sur la géopolitique, la recherche, les nouvelles du secteur concernant d’autres groupes de piratage informatique, ainsi qu’une liste de "contributeurs" factice - mais qui utilisaient les noms et les photos de vrais journalistes pour inspirer la confiance. Dans certains cas, les sites de diffusion d’information créés par BAHAMUT étaient également rendus légitimes auprès des utilisateurs grâce à la création de comptes frauduleux sur certains sites internet et sur les réseaux sociaux.

Applications mobiles malveillantes : plus que de la visibilité

En se basant sur des critères de configuration et des empreintes réseaux, les équipes BlackBerry ont révélé que neuf applications iOS malveillantes (disponibles dans l’App Store d’Apple) et qu’un assortiment d’applications Android avaient un lien direct avec BAHAMUT. Les applications et sites web associés étaient aboutis et comprenaient notamment des politiques de confidentialité et des conditions de service – éléments souvent négligés par les hackers – destinées à contourner les mesures de protection mises en place par Google et Apple.

Ces applications, exclusivement téléchargeables sur le territoire des Emirats Arabes Unis, étaient destinées à des cibles qataries et plus particulièrement à des groupes politiques et religieux spécifiques. Pour ce faire, le groupe BAHAMUT a notamment utilisé les sujets du Ramadan ou encore le mouvement séparatiste Sikh comme appâts.

Autres conclusions

Le groupe BAHAMUT exploite des outils disponibles en open-source (le groupe est notamment mentionné sur Bellingcat), imite d’autres groupes de menace et change fréquemment de tactique. Ces éléments ont fait que, jusque-là, les actions du groupe étaient difficilement identifiables. Cependant, BlackBerry établit, avec certitude, que BAHAMUT est bien derrière des exploits étudiés par plus de 20 entreprises de sécurité et ONG mais sous divers noms tels que EHDEVEL, WINDSHIFT, URPAGE, THE WHITE COMPANY, ou plus sérieux encore, le fameux groupe de menace non nommé dans le rapport « InPage zero-day » de Kaspersky en 2016.

Le rapport met en lumière d’autres observations importantes concernant BAHAMUT :

• Le groupe dispose d’au moins un développeur « zero-day », ce qui témoigne du niveau élevé de compétences de BAHAMUT par rapport à d’autres groupes de menaces déjà connus.
• Le phishing et le vol d’informations d’identité visent des cibles très précises, induisant que des opérations de reconnaissance organisées ont été menées sur les cibles avant l’attaque.
• Les clusters identifiés en Asie du Sud et au Moyen-Orient confirment la thèse d’un modèle « hacker for hire ».
• Une série d’outils, de tactiques et de cibles suggèrent que le groupe est largement financé, détient les ressources nécessaires pour mener à bien ses actions et est au fait des dernières avancées en matière de sécurité.

Avant la publication de ce rapport, BlackBerry a tenu à informer le plus de personnes, de gouvernements et d’entreprises/ONG possible.