WindShift APT

El mite que els ordinadors Mac no tenen virus és només això: un mite. La realitat és que els virus Mac són menys comuns. Encara existeixen, però els grups de pirateria no fan que la seva creació sigui una prioritat. De tant en tant, però, apareix un grup com WindShift.

WindShift és el que es considera un APT (Advanced Persistent Threat). Són grups que els investigadors de seguretat coneixen i segueixen. La infraestructura, les eines i els objectius d'un APT són generalment coneguts perquè s'examinen tan de prop. Alguns grups són més sigilosos i poden operar en silenci sense ser rastrejats. És més difícil vigilar aquests grups. WindShift és un d'aquests grups i, segons els investigadors, ha estat operatiu des del 2017 com a molt aviat.

El WindShift APT se centra principalment en les operacions de reconeixement. El grup s'ha compromès amb grans objectius com governs i organitzacions, però també sembla perseguir objectius específics escollits amb antelació. L'interessant dels seus objectius és que semblen completament no relacionats. Els investigadors de ciberseguretat encara no han trobat un únic enllaç de connexió entre els objectius. WindShift també adopta un enfocament diferent al d'altres grups. El grup no depèn tant del programari maliciós i del ransomware per obtenir la informació que busquen com ho fan altres grups. En canvi, aquest APT utilitza una enginyeria social sofisticada per obtenir dades dels objectius de manera subtil. La majoria dels objectius ni tan sols s'adonen que hi ha res dolent fins que és massa tard.

És gràcies a aquesta dependència del sigil que el grup pot dur a terme operacions durant llargs períodes de temps sense ser atrapat. Se sap que les campanyes de WindShift duren mesos alhora. Els experts suggereixen que alguns dels objectius assolits per WindShift es van observar durant mesos abans que el grup comencés cap operació de pirateria. WindShift ho fa mitjançant l'ús de comptes de xarxes socials falsos, mantenint debats amb objectius sobre temes relacionats i creant contingut atractiu mitjançant publicacions falses. Es connecten amb els seus objectius per guanyar-se la confiança i facilitar la fase d'atac real.

El grup també utilitza una sèrie d'eines analítiques per estudiar i observar individus, inclosos els seus hàbits i interessos de navegació. Poden utilitzar aquesta informació per impulsar les seves campanyes d'enginyeria social i obtenir encara més coneixements. WindShift ha utilitzat tant eines disponibles públicament com utilitats que han creat ells mateixos. Una manera en què el grup recopila informació sobre les coses que els agrada als seus objectius és enviar-los enllaços a pàgines web legítimes.

Els pirates informàtics intentaran obtenir les credencials d'inici de sessió d'un objectiu quan tinguin prou informació per treballar. El grup ha utilitzat Apple iCloud i Gmail, entre d'altres, per obtenir credencials dels seus objectius. El grup envia un missatge al seu objectiu alertant-los que han de restablir la seva contrasenya. L'objectiu s'envia a una pàgina que sembla legítima però que és una pàgina de recuperació falsificada dissenyada per robar informació. Si l'objectiu no cau en el truc, aleshores WindShift passa a les eines de pirateria per obtenir la informació que volen.

A més d'utilitzar eines disponibles públicament, Windshift ha creat diverses eines i amenaces de pirateria personalitzades, com ara les següents:

• WindDrop : un programa de descàrrega de troià dissenyat per a sistemes Windows, que es va detectar per primera vegada el 2018.
• WindTail : un programari maliciós dissenyat per a sistemes OSX, que recull tipus de fitxers específics o fitxers que tenen determinats noms que s'ajusten als seus criteris. També és capaç de plantar programari maliciós addicional al sistema compromès.
• WindTape : un troià de porta posterior dissenyat per a sistemes OSX que és capaç de fer captures de pantalla.

Aquestes eines tenen algunes capacitats avançades, com ara poder manipular la configuració de DNS i enviar usuaris a diferents pàgines web. WindShift pot controlar les connexions a Internet dels sistemes compromesos i enviar-les a altres llocs web. Aquests llocs web estan dissenyats per semblar-se a la realitat i s'utilitzen per obtenir credencials d'inici de sessió i informació addicional dels objectius.

WindShift APT és sens dubte un dels grups de pirateria informàtica més inusuals. El grup té un enfocament diferent dels seus objectius i atacs que altres APT coneguts. El grup depèn en gran mesura de l'enginyeria social i s'orienta principalment als ordinadors Mac. Això és el que els converteix en un enigma en el món de la pirateria informàtica. Els investigadors de seguretat encara estan intentant elaborar els seus procediments operatius i motivacions. Tot i així, el grup demostra definitivament que el vostre Mac no és tan immune als virus com creieu.