WindShift APT

Ο μύθος ότι οι υπολογιστές Mac δεν κολλάνε ιούς είναι ακριβώς αυτός: ένας μύθος. Η πραγματικότητα είναι ότι οι ιοί Mac είναι λιγότερο συνηθισμένοι. Εξακολουθούν να υπάρχουν, αλλά οι ομάδες χάκερ δεν κάνουν τη δημιουργία τους προτεραιότητα. Κάθε τόσο, όμως, εμφανίζεται μια ομάδα όπως το WindShift.

Το WindShift είναι αυτό που θεωρείται APT (Advanced Persistent Threat). Πρόκειται για ομάδες που γνωρίζουν και παρακολουθούν οι ερευνητές ασφάλειας. Η υποδομή, τα εργαλεία και οι στόχοι ενός APT είναι γενικά γνωστά επειδή ελέγχονται τόσο προσεκτικά. Ορισμένες ομάδες είναι πιο κρυφές και ικανές να λειτουργούν αθόρυβα χωρίς να παρακολουθούνται. Είναι πιο δύσκολο να παρακολουθείς αυτές τις ομάδες. Η WindShift είναι μία από αυτές τις ομάδες και, σύμφωνα με τους ερευνητές, λειτουργεί από το 2017 το νωρίτερο.

Το WindShift APT εστιάζει κυρίως σε επιχειρήσεις αναγνώρισης. Η ομάδα έχει ασχοληθεί με μεγάλους στόχους, όπως κυβερνήσεις και οργανισμούς, αλλά φαίνεται επίσης να επιδιώκει συγκεκριμένους στόχους που έχουν επιλεγεί εκ των προτέρων. Το ενδιαφέρον με τους στόχους τους είναι ότι φαίνονται εντελώς άσχετοι. Οι ερευνητές της κυβερνοασφάλειας δεν έχουν βρει ακόμη έναν ενιαίο συνδετικό κρίκο μεταξύ των στόχων. Το WindShift έχει επίσης διαφορετική προσέγγιση από άλλες ομάδες. Η ομάδα δεν βασίζεται τόσο σε κακόβουλο λογισμικό και ransomware για να λάβει τις πληροφορίες που αναζητά όπως κάνουν άλλες ομάδες. Αντίθετα, αυτό το APT χρησιμοποιεί εξελιγμένη κοινωνική μηχανική για να λαμβάνει δεδομένα από στόχους διακριτικά. Οι περισσότεροι στόχοι δεν συνειδητοποιούν καν ότι τίποτα δεν πάει καλά μέχρι να είναι πολύ αργά.

Χάρη σε αυτήν την εξάρτηση από το stealth, η ομάδα μπορεί να πραγματοποιήσει επιχειρήσεις για μεγάλες χρονικές περιόδους χωρίς να συλληφθεί. Οι καμπάνιες WindShift ήταν γνωστές τους τελευταίους μήνες κάθε φορά. Οι ειδικοί προτείνουν ότι ορισμένοι από τους στόχους που έπληξε το WindShift παρατηρήθηκαν για μήνες πριν η ομάδα ξεκινήσει οποιαδήποτε πραγματική επιχείρηση εισβολής. Το WindShift το κάνει αυτό μέσω της χρήσης ψεύτικων λογαριασμών στα μέσα κοινωνικής δικτύωσης, της διεξαγωγής συζητήσεων με στόχους σχετικά με σχετικά θέματα και της δημιουργίας ελκυστικού περιεχομένου μέσω ψεύτικων δημοσιεύσεων. Συνδέονται με τους στόχους τους για να κερδίσουν εμπιστοσύνη και να κάνουν την πραγματική φάση της επίθεσης ευκολότερη.

Η ομάδα χρησιμοποιεί επίσης μια σειρά αναλυτικών εργαλείων για τη μελέτη και την παρατήρηση ατόμων, συμπεριλαμβανομένων των συνηθειών περιήγησης και των ενδιαφερόντων τους. Μπορούν να χρησιμοποιήσουν αυτές τις πληροφορίες για να προωθήσουν τις καμπάνιες κοινωνικής μηχανικής τους και να αποκτήσουν ακόμη περισσότερη γνώση. Το WindShift έχει χρησιμοποιήσει τόσο δημόσια διαθέσιμα εργαλεία όσο και βοηθητικά προγράμματα που έχουν φτιάξει οι ίδιοι. Ένας τρόπος με τον οποίο η ομάδα συλλέγει πληροφορίες σχετικά με τα πράγματα που αρέσουν στους στόχους της είναι να τους στέλνει συνδέσμους σε νόμιμες ιστοσελίδες.

Οι χάκερ θα προσπαθήσουν να αποκτήσουν διαπιστευτήρια σύνδεσης από έναν στόχο μόλις έχουν αρκετές πληροφορίες για να εργαστούν. Η ομάδα έχει χρησιμοποιήσει το Apple iCloud και το Gmail, μεταξύ άλλων, για να λάβει διαπιστευτήρια από τους στόχους της. Η ομάδα στέλνει στον στόχο της ένα μήνυμα που τους ειδοποιεί ότι πρέπει να επαναφέρουν τον κωδικό πρόσβασής τους. Ο στόχος αποστέλλεται σε μια σελίδα που φαίνεται νόμιμη, αλλά είναι μια πλαστή σελίδα ανάκτησης που έχει σχεδιαστεί για την κλοπή πληροφοριών. Εάν ο στόχος δεν πέσει στο κόλπο, τότε το WindShift προχωρά στα εργαλεία hacking για να πάρει τις πληροφορίες που θέλουν.

Εκτός από τη χρήση δημοσίως διαθέσιμων εργαλείων, το Windshift έχει δημιουργήσει πολλά προσαρμοσμένα εργαλεία και απειλές hacking, όπως οι ακόλουθες:

• WindDrop – Ένα πρόγραμμα λήψης Trojan σχεδιασμένο για συστήματα Windows, το οποίο εντοπίστηκε για πρώτη φορά το 2018.
• WindTail – Ένα κακόβουλο λογισμικό σχεδιασμένο για συστήματα OSX, το οποίο συλλέγει συγκεκριμένους τύπους αρχείων ή αρχεία που έχουν συγκεκριμένα ονόματα που ταιριάζουν στα κριτήριά του. Είναι επίσης ικανό να φυτέψει επιπλέον κακόβουλο λογισμικό στο παραβιασμένο σύστημα.
• WindTape – Ένα backdoor Trojan σχεδιασμένο για συστήματα OSX που μπορεί να τραβήξει στιγμιότυπα οθόνης.

Αυτά τα εργαλεία έχουν ορισμένες προηγμένες δυνατότητες, όπως τη δυνατότητα χειρισμού των ρυθμίσεων DNS και αποστολής χρηστών σε διαφορετικές ιστοσελίδες. Το WindShift μπορεί να ελέγχει τις συνδέσεις διαδικτύου των παραβιασμένων συστημάτων και να τις στέλνει σε άλλους ιστότοπους. Αυτοί οι ιστότοποι έχουν σχεδιαστεί για να μοιάζουν με τον πραγματικό και χρησιμοποιούνται για τη λήψη διαπιστευτηρίων σύνδεσης και πρόσθετων πληροφοριών από στόχους.

Το WindShift APT είναι αναμφίβολα μία από τις πιο ασυνήθιστες ομάδες hacking. Η ομάδα έχει διαφορετική προσέγγιση στους στόχους και τις επιθέσεις της από άλλα γνωστά APT. Η ομάδα βασίζεται σε μεγάλο βαθμό στην κοινωνική μηχανική και στοχεύει κυρίως υπολογιστές Mac. Αυτό είναι που τους κάνει τόσο αίνιγμα στον κόσμο του hacking. Οι ερευνητές ασφαλείας προσπαθούν ακόμη να επεξεργαστούν τις επιχειρησιακές διαδικασίες και τα κίνητρά τους. Ωστόσο, η ομάδα σίγουρα αποδεικνύει ότι ο Mac σας δεν είναι τόσο άτρωτος στους ιούς όσο νομίζετε.