WindShift APT

Міф про те, що комп’ютери Mac не заражаються вірусами, це просто: міф. Реальність така, що віруси Mac є лише менш поширеними. Вони все ще існують, але хакерські групи не роблять їх створення пріоритетом. Однак час від часу зустрічається така група, як WindShift.

WindShift — це те, що вважається APT (Advanced Persistent Threat). Це групи, про які дослідники безпеки знають і відстежують. Інфраструктура, інструменти та цілі APT, як правило, добре відомі, оскільки вони дуже ретельно досліджуються. Деякі групи є більш схованими і можуть діяти тихо, не відстежуючи їх. За цими групами важче стежити. WindShift — одна з таких груп, і, за словами дослідників, вона функціонує не раніше 2017 року.

WindShift APT в першу чергу зосереджується на розвідувальних операціях. Група співпрацює з великими цілями, такими як уряди та організації, але також, схоже, домагається конкретних цілей, обраних заздалегідь. Цікаве в їхніх цілях те, що вони здаються абсолютно не пов’язаними. Дослідники кібербезпеки ще не знайшли єдиної сполучної ланки між цілями. WindShift також використовує інший підхід, ніж інші групи. Група не так сильно покладається на шкідливі програми та програми-вимагачі, щоб отримати інформацію, яку вони шукають, як це роблять інші групи. Натомість цей APT використовує складну соціальну інженерію для тонкого отримання даних від цілей. Більшість цілей навіть не усвідомлюють, що щось не так, поки не стане занадто пізно.

Завдяки цій опорі на секретність угруповання може виконувати операції протягом тривалого періоду часу, не будучи спійманим. Відомо, що кампанії WindShift тривають кілька місяців. Експерти припускають, що деякі цілі, на які потрапив WindShift, спостерігалися за місяці до того, як група почала будь-які фактичні операції злому. WindShift робить це за допомогою фальшивих облікових записів у соціальних мережах, проведення обговорень із цільовими особами на відповідні теми та створення привабливого контенту за допомогою підроблених публікацій. Вони з’єднуються зі своїми цілями, щоб заслужити довіру та полегшити реальну фазу атаки.

Група також використовує цілий ряд аналітичних інструментів для вивчення та спостереження за людьми, включно з їхніми звичками та інтересами. Вони можуть використовувати цю інформацію для розвитку своїх кампаній із соціальної інженерії та отримати ще більше знань. WindShift використовує як загальнодоступні інструменти, так і утиліти, які вони створили самостійно. Один із способів, за допомогою якого група збирає інформацію про те, що подобається їхнім цілям, — надсилати їм посилання на законні веб-сторінки.

Хакери намагатимуться отримати облікові дані для входу від цілі, як тільки у них буде достатньо інформації для роботи. Група використовувала Apple iCloud і Gmail, серед інших, для отримання облікових даних від своїх цілей. Група надсилає своїй цілі повідомлення з попередженням про те, що їм потрібно скинути пароль. Ціль надсилається на сторінку, яка виглядає законною, але є підробленою сторінкою відновлення, призначеною для крадіжки інформації. Якщо ціль не піддається трюку, WindShift переходить до інструментів злому, щоб отримати потрібну інформацію.

Крім використання загальнодоступних інструментів, Windshift створив кілька спеціальних інструментів злому та загроз, наприклад:

• WindDrop – троянський завантажувач, розроблений для систем Windows, який вперше був помічений у 2018 році.
• WindTail – Шкідливе програмне забезпечення, розроблене для систем OSX, яке збирає певні типи файлів або файли, які мають певні імена, які відповідають її критеріям. Він також здатний розмістити додаткові шкідливі програми в зламаній системі.
• WindTape – бекдор-троян, розроблений для систем OSX, який може робити знімки екрана.

Ці інструменти мають деякі розширені можливості, наприклад, можливість маніпулювати налаштуваннями DNS і надсилати користувачів на різні веб-сторінки. WindShift може контролювати інтернет-з'єднання зламаних систем і надсилати їх на інші веб-сайти. Ці веб-сайти створені так, щоб вони виглядали так само, як справжні, і використовуються для отримання облікових даних для входу та додаткової інформації від цілей.

WindShift APT, безсумнівно, є однією з найбільш незвичайних хакерських груп. Група має інший підхід до своїх цілей і атак, ніж інші відомі APT. Група в значній мірі покладається на соціальну інженерію і в першу чергу орієнтована на комп’ютери Mac. Саме це робить їх такою загадкою у світі хакерів. Дослідники безпеки все ще намагаються визначити свої оперативні процедури та мотивацію. Тим не менш, група точно доводить, що ваш Mac не настільки захищений від вірусів, як ви думаєте.