WindShift APT

إن الأسطورة القائلة بأن أجهزة كمبيوتر Mac لا تصاب بالفيروسات هي مجرد: خرافة. الحقيقة هي أن فيروسات Mac أقل شيوعًا. لا تزال موجودة ، لكن مجموعات القرصنة لا تجعل إنشائها أولوية. في كثير من الأحيان ، على الرغم من ذلك ، تأتي مجموعة مثل WindShift.

WindShift هو ما يعتبر APT (التهديد المتقدم المستمر). هذه هي المجموعات التي يعرفها الباحثون الأمنيون ويتتبعونها. إن البنية التحتية والأدوات والأهداف الخاصة بـ APT معروفة بشكل عام لأنها تخضع للتدقيق عن كثب. بعض المجموعات أكثر تخفيًا وقادرة على العمل بهدوء دون أن يتم تعقبها. من الصعب مراقبة تلك المجموعات. WindShift هي واحدة من تلك المجموعات ، ووفقًا للباحثين ، تعمل منذ عام 2017 على أقرب تقدير.

تركز WindShift APT بشكل أساسي على عمليات الاستطلاع. انخرطت المجموعة مع أهداف كبيرة مثل الحكومات والمنظمات ولكن يبدو أيضًا أنها تسعى وراء أهداف محددة تم اختيارها مسبقًا. الشيء المثير للاهتمام حول أهدافهم هو أنها تبدو غير مرتبطة تمامًا. لم يجد باحثو الأمن السيبراني بعد رابطًا واحدًا يربط بين الأهداف. تأخذ WindShift أيضًا نهجًا مختلفًا عن المجموعات الأخرى. لا تعتمد المجموعة بشكل كبير على البرامج الضارة وبرامج الفدية للحصول على المعلومات التي تسعى وراءها كما تفعل المجموعات الأخرى. بدلاً من ذلك ، تستخدم APT هندسة اجتماعية معقدة للحصول على البيانات من الأهداف بمهارة. معظم الأهداف لا تدرك حتى أن هناك خطأ ما إلا بعد فوات الأوان.

بفضل هذا الاعتماد على التخفي ، يمكن للمجموعة تنفيذ عملياتها لفترات طويلة دون أن يتم القبض عليها. من المعروف أن حملات WindShift تستمر في الأشهر الماضية في كل مرة. يقترح الخبراء أن بعض الأهداف التي أصابتها WindShift تمت ملاحظتها لعدة أشهر قبل أن تبدأ المجموعة أي عمليات قرصنة فعلية. تقوم WindShift بهذا من خلال استخدام حسابات وسائط اجتماعية مزيفة ، وإجراء مناقشات مع أهداف حول مواضيع ذات صلة ، وإنشاء محتوى جذاب من خلال منشورات مزيفة. يتواصلون مع أهدافهم لكسب الثقة وتسهيل مرحلة الهجوم الفعلي.

تستخدم المجموعة أيضًا مجموعة من الأدوات التحليلية لدراسة ومراقبة الأفراد ، بما في ذلك عاداتهم واهتماماتهم في التصفح. يمكنهم استخدام هذه المعلومات لتعزيز حملات الهندسة الاجتماعية واكتساب المزيد من المعرفة. استخدم WindShift كلاً من الأدوات والمرافق المتاحة للجمهور التي صنعوها بأنفسهم. إحدى الطرق التي تجمع بها المجموعة معلومات حول الأشياء التي تستهدفها هي إرسال روابط إلى صفحات ويب شرعية.

سيحاول المتسللون الحصول على بيانات اعتماد تسجيل الدخول من هدف بمجرد حصولهم على معلومات كافية للعمل معهم. استخدمت المجموعة Apple iCloud و Gmail ، من بين أمور أخرى ، للحصول على بيانات اعتماد من أهدافهم. ترسل المجموعة إلى الهدف رسالة تنبههم إلى أنهم بحاجة إلى إعادة تعيين كلمة المرور الخاصة بهم. يتم إرسال الهدف إلى صفحة تبدو شرعية ولكنها صفحة استرداد مخادعة مصممة لسرقة المعلومات. إذا لم يقع الهدف في الحيلة ، فإن WindShift ينتقل إلى أدوات القرصنة للحصول على المعلومات التي يريدونها.

بعيدًا عن استخدام الأدوات المتاحة للجمهور ، أنشأت Windshift العديد من أدوات القرصنة المخصصة والتهديدات ، مثل ما يلي:

• WindDrop - برنامج تنزيل أحصنة طروادة مصمم لأنظمة Windows ، والذي تم رصده لأول مرة في عام 2018.
• WindTail - برنامج ضار مصمم لأنظمة OSX ، والذي يجمع أنواعًا معينة من الملفات أو الملفات التي لها أسماء معينة تتناسب مع معاييرها. كما أنه قادر على زرع برامج ضارة إضافية على النظام المخترق.
• WindTape - حصان طروادة خلفي مصمم لأنظمة OSX القادرة على التقاط لقطات شاشة.

تتمتع هذه الأدوات ببعض القدرات المتقدمة ، مثل القدرة على معالجة إعدادات DNS وإرسال المستخدمين إلى صفحات ويب مختلفة. يمكن لـ WindShift التحكم في اتصالات الإنترنت للأنظمة المخترقة وإرسالها إلى مواقع الويب الأخرى بدلاً من ذلك. تم تصميم مواقع الويب هذه لتبدو تمامًا مثل الشيء الحقيقي وتستخدم للحصول على بيانات اعتماد تسجيل الدخول ومعلومات إضافية من الأهداف.

WindShift APT هي بلا شك واحدة من أكثر مجموعات القرصنة غير العادية الموجودة. المجموعة لديها نهج مختلف لأهدافها وهجماتها من APTs المعروفة الأخرى. تعتمد المجموعة بشكل كبير على الهندسة الاجتماعية وتستهدف بشكل أساسي أجهزة كمبيوتر Mac. هذا ما يجعلهم مثل هذا اللغز في عالم القرصنة. لا يزال الباحثون الأمنيون يحاولون العمل على إجراءاتهم التشغيلية ودوافعهم. ومع ذلك ، أثبتت المجموعة بالتأكيد أن جهاز Mac الخاص بك ليس محصنًا ضد الفيروسات كما تعتقد.