WindShift APT

Митът, че компютрите Mac не получават вируси, е точно това: мит. Реалността е, че Mac вирусите са просто по-рядко срещани. Те все още съществуват, но хакерските групи не правят създаването им приоритет. От време на време обаче се появява група като WindShift.

WindShift е това, което се счита за APT (Advanced Persistent Threat). Това са групи, за които изследователите по сигурността са наясно и следят. Инфраструктурата, инструментите и целите на APT като цяло са добре познати, защото се разглеждат толкова внимателно. Някои групи са по-скрити и могат да работят тихо, без да бъдат проследявани. По-трудно е да следите тези групи. WindShift е една от тези групи и според изследователите е действала най-рано от 2017 г.

WindShift APT се фокусира основно върху разузнавателните операции. Групата се ангажира с големи цели като правителства и организации, но изглежда също така се стреми към конкретни цели, избрани преди време. Интересното при целите им е, че изглеждат напълно несвързани. Изследователите по киберсигурност все още не са намерили нито една свързваща връзка между целите. WindShift също използва различен подход от другите групи. Групата не разчита толкова силно на зловреден софтуер и ransomware, за да получи информацията, която търси, както правят други групи. Вместо това този APT използва сложно социално инженерство, за да получи фино данни от целите. Повечето мишени дори не осъзнават, че нещо не е наред, докато не стане твърде късно.

Благодарение на това разчитане на стелт групата може да извършва операции за продължителни периоди от време, без да бъде заловена. Известно е, че кампаниите на WindShift продължават месеци. Експертите предполагат, че някои от целите на WindShift са били наблюдавани месеци преди групата да започне каквито и да било действителни хакерски операции. WindShift прави това чрез използване на фалшиви акаунти в социалните медии, провеждане на дискусии с цели по свързани теми и създаване на ангажиращо съдържание чрез фалшиви публикации. Те се свързват със своите цели, за да спечелят доверие и да направят действителната фаза на атака по-лесна.

Групата също така използва набор от аналитични инструменти за изучаване и наблюдение на хора, включително техните навици и интереси при сърфиране. Те могат да използват тази информация, за да продължат своите кампании за социално инженерство и да получат още повече знания. WindShift използва както публично достъпни инструменти, така и помощни програми, които сами са направили. Един от начините, по които групата събира информация за нещата, които харесват техните цели, е да им изпрати връзки към легитимни уеб страници.

Хакерите ще се опитат да получат идентификационни данни за вход от цел, след като имат достатъчно информация, с която да работят. Групата е използвала Apple iCloud и Gmail, наред с други, за да получи идентификационни данни от своите цели. Групата изпраща на целта си съобщение, което ги предупреждава, че трябва да нулират паролата си. Целта се изпраща на страница, която изглежда легитимна, но е фалшива страница за възстановяване, предназначена да краде информация. Ако целта не се поддава на трика, тогава WindShift преминава към хакерски инструменти, за да получи информацията, която иска.

Извън използването на публично достъпни инструменти, Windshift създаде няколко персонализирани инструменти за хакване и заплахи, като например следното:

• WindDrop – Троянски програмист за изтегляне, предназначен за Windows системи, който беше забелязан за първи път през 2018 г.
• WindTail – Зловреден софтуер, предназначен за OSX системи, който събира специфични типове файлове или файлове с определени имена, които отговарят на неговите критерии. Той също така е в състояние да засажда допълнителен зловреден софтуер в компрометираната система.
• WindTape – Бекдор троянски кон, предназначен за OSX системи, който може да прави екранни снимки.

Тези инструменти имат някои разширени възможности, като например възможността да манипулират настройките на DNS и да изпращат потребителите до различни уеб страници. WindShift може да контролира интернет връзките на компрометирани системи и вместо това да ги изпраща до други уебсайтове. Тези уебсайтове са проектирани да изглеждат точно като истинските и се използват за получаване на идентификационни данни за вход и допълнителна информация от цели.

WindShift APT несъмнено е една от най-необичайните хакерски групи. Групата има различен подход към своите цели и атаки от други известни APT. Групата разчита в голяма степен на социалното инженерство и е насочена предимно към компютрите Mac. Това ги прави толкова загадка в хакерския свят. Изследователите по сигурността все още се опитват да разработят своите оперативни процедури и мотивации. Все пак групата определено доказва, че вашият Mac не е толкова имунизиран срещу вируси, колкото си мислите.