WindShift APT

Myten om, at Mac-computere ikke får virus, er netop det: en myte. Virkeligheden er, at Mac-virus bare er mindre almindelige. De eksisterer stadig, men hackinggrupper prioriterer ikke oprettelsen af dem. En gang imellem kommer der dog en gruppe som WindShift.

WindShift er, hvad der betragtes som en APT (Advanced Persistent Threat). Det er grupper, som sikkerhedsforskere er opmærksomme på og sporer. Infrastrukturen, værktøjerne og målene for en APT er generelt velkendte, fordi de bliver gransket så nøje. Nogle grupper er mere snigende og i stand til at operere stille og roligt uden at blive sporet. Det er sværere at holde øje med de grupper. WindShift er en af disse grupper og har ifølge forskere tidligst været operationel siden 2017.

WindShift APT fokuserer primært på rekognosceringsoperationer. Gruppen har engageret sig med store mål som regeringer og organisationer, men ser også ud til at gå efter specifikke mål, der er valgt på forhånd. Det interessante ved deres mål er, at de virker fuldstændig uafhængige. Cybersikkerhedsforskere har endnu ikke fundet en enkelt forbindelse mellem målene. WindShift har også en anden tilgang end andre grupper. Gruppen er ikke så afhængig af malware og ransomware for at få den information, de leder efter, som andre grupper gør. I stedet bruger denne APT sofistikeret social engineering til at indhente data fra mål subtilt. De fleste mål indser ikke engang, at der er noget galt, før det er for sent.

Det er takket være denne afhængighed af stealth, at gruppen kan udføre operationer i længere perioder uden at blive fanget. WindShift-kampagner har været kendt for at vare måneder ad gangen. Eksperter antyder, at nogle af målene, WindShift ramte, blev observeret i flere måneder, før gruppen påbegyndte nogen egentlige hackeroperationer. WindShift gør dette ved at bruge falske sociale mediekonti, holde diskussioner med mål om relaterbare emner og skabe engagerende indhold gennem falske publikationer. De forbinder sig med deres mål for at opnå tillid og gøre selve angrebsfasen lettere.

Gruppen bruger også en række analytiske værktøjer til at studere og observere individer, herunder deres browsing-vaner og -interesser. De kan bruge denne information til at fremme deres social engineering-kampagner og få endnu mere viden. WindShift har brugt både offentligt tilgængelige værktøjer og hjælpeprogrammer, som de selv har lavet. En måde, hvorpå gruppen indsamler information om de ting, deres mål kan lide, er at sende dem links til legitime websider.

Hackerne vil forsøge at få login-legitimationsoplysninger fra et mål, når de har nok information at arbejde med. Gruppen har blandt andet brugt Apple iCloud og Gmail til at få legitimationsoplysninger fra deres mål. Gruppen sender deres mål en besked, der advarer dem om, at de skal nulstille deres adgangskode. Målet sendes til en side, der virker legitim, men som er en forfalsket gendannelsesside designet til at stjæle information. Hvis målet ikke falder for tricket, så går WindShift videre til hacking-værktøjer for at få den information, de ønsker.

Ud over at bruge offentligt tilgængelige værktøjer har Windshift skabt flere brugerdefinerede hackingværktøjer og trusler, såsom følgende:

  • WindDrop – En trojansk downloader designet til Windows-systemer, som først blev opdaget i 2018.
  • WindTail – En malware designet til OSX-systemer, som indsamler specifikke filtyper eller filer, der har bestemte navne, der passer til dens kriterier. Det er også i stand til at plante yderligere malware på det kompromitterede system.
  • WindTape – En bagdørstrojaner designet til OSX-systemer, der er i stand til at tage skærmbilleder.

Disse værktøjer har nogle avancerede muligheder, såsom at være i stand til at manipulere DNS-indstillinger og sende brugere til forskellige websider. WindShift kan kontrollere internetforbindelserne på kompromitterede systemer og sende dem til andre websteder i stedet for. Disse websteder er designet til at ligne den ægte vare og bruges til at indhente loginoplysninger og yderligere oplysninger fra mål.

WindShift APT er uden tvivl en af de mere usædvanlige hackergrupper, der findes. Gruppen har en anden tilgang til deres mål og angreb end andre kendte APT'er. Gruppen er stærkt afhængig af social engineering og retter sig primært mod Mac-computere. Det er det, der gør dem til en gåde i hackerverdenen. Sikkerhedsforskere forsøger stadig at finde frem til deres operationelle procedurer og motiver. Alligevel beviser gruppen bestemt, at din Mac ikke er så immun over for virus, som du tror, den er.

Trending

Mest sete

Indlæser...