BlackBerryは、カナダ現地時間10月7日、サイバーセキュリティにおいて脅威とされているグループ「BAHAMUT(バハムート)」に関して、その正確な活動範囲と高度な技術を明らかにした最新の調査結果を発表した。
調査結果において、BlackBerryのリサーチチームは、政府高官や業界の著名人を標的とした現在進行中の圧倒的な数の攻撃を、BAHAMUTによるものと関連付けた。特定の政治的主張を助長しNGO活動を妨害するために、同グループが保有する膨大な虚偽情報資産のネットワークが存在することも明らかにしているという。
また、BAHAMUTによる標的と攻撃は広範囲であるにも関わらず、識別可能なパターンや統一的な動機が欠如していることから、同グループが「雇われハッカー」の傭兵集団として行動している可能性が高いことを確認したとしている。
さらに、BlackBerryが発見したBAHAMUTのスキル・手法の最も際立った側面は、入念に構築したオリジナルのWebサイト、アプリケーション、ペルソナの使用にあるという。
実在のジャーナリスト(米国の地元のニュースキャスターを含む)の氏名と写真を使用した、偽の「寄稿者」一覧をあたかも本物のように掲載。BAHAMUTが作成した「ニュース」サイトには、正当性を装うために、ソーシャルメディアのアカウントや他のWebサイトも記載されている事例もあったとしている。
悪意あるモバイルアプリケーション:見た目以上の内容
Apple App Store上の9件の悪意あるiOSアプリケーションのほか、構成や独自のネットワークサービスの痕跡が示されたことで、BAHAMUTと直接関連付けられる、一連のAndroidアプリケーションを特定。これらのアプリケーションは、脅威アクターが見落としがちな要素であるWebサイトのデザイン性やプライバシーポリシー、利用規約の記載が整っており、GoogleとAppleの両社の審査を通過できたという。
BlackBerryが調査したこれらのアプリケーションは、ダウンロード先がアラブ首長国連邦(UAE)にリージョンロックされていたことから、同国を標的としていると判断。さらに、ラマダンをテーマとするアプリケーションや、シク分離主義運動を呼びかけるものなど、BAHAMUTが特定の宗教・政治グループを標的とする意図を持っていたことが示唆されるとしている。
BAHAMUTに関する上記以外の重要な考察
- 少なくとも1人のゼロデイ開発者は、今日知られている他の脅威アクターグループの大半を上回るレベルのスキルを持つ
- フィッシング攻撃やクレデンシャルハーベスティングの使用は、極めて正確に標的を狙っており、攻撃前の標的に対しては、協調的でしっかりとした偵察オペレーションが遂行されている
- 南アジアと中東でのクラスター化された標的活動により、「雇われハッカー」集団である可能性が高まっている
- 一連のツール、戦術、標的からは、同グループの資金やリソースが潤沢で、セキュリティ研究に精通している点が示唆される
