WindShift APT

Müüt, et Maci arvutid ei saa viiruseid, on just see: müüt. Reaalsus on see, et Maci viirused on lihtsalt vähem levinud. Need on endiselt olemas, kuid häkkimisgrupid ei muuda nende loomist prioriteediks. Aeg-ajalt tuleb aga ette selline grupp nagu WindShift.

WindShift on see, mida peetakse APT-ks (Advanced Persistent Threat). Need on rühmad, millest turvauurijad on teadlikud ja mida jälgivad. APT infrastruktuur, tööriistad ja eesmärgid on üldiselt hästi teada, kuna neid uuritakse nii hoolikalt. Mõned rühmad on vargsemad ja suudavad tegutseda vaikselt, ilma et neid jälgitaks. Nendel rühmadel on raskem silma peal hoida. WindShift on üks neist rühmadest ja teadlaste sõnul on see toiminud kõige varem alates 2017. aastast.

WindShift APT keskendub peamiselt luureoperatsioonidele. Rühm on tegelenud suurte sihtmärkidega, nagu valitsused ja organisatsioonid, kuid näib järgivat ka konkreetseid sihtmärke, mis on valitud enne tähtaega. Huvitav asi nende sihtmärkide juures on see, et nad tunduvad täiesti mitteseotud. Küberjulgeoleku teadlased ei ole veel leidnud sihtmärkide vahel ühtainsat ühenduslüli. WindShift kasutab ka teistsugust lähenemist kui teised rühmad. Rühm ei toetu otsitava teabe hankimiseks nii palju pahavarale ja lunavarale nagu teised rühmad. Selle asemel kasutab see APT keerukat sotsiaalset manipuleerimist, et saada sihtmärkidelt andmeid peenelt. Enamik sihtmärke ei saa isegi aru, et midagi on valesti, kuni on liiga hilja.

Tänu sellele vargusele tuginemisele saab rühm teha operatsioone pikema aja jooksul ilma, et teda tabataks. WindShift kampaaniad on kestnud mitu kuud korraga. Eksperdid viitavad, et mõnda WindShifti tabatud sihtmärki jälgiti kuid enne, kui rühm alustas tegelikke häkkimisoperatsioone. WindShift teeb seda võltsitud sotsiaalmeediakontode abil, arutledes sihtmärkidega seotud teemadel ja luues köitvat sisu võltsväljaannete kaudu. Nad loovad ühenduse oma sihtmärkidega, et teenida usaldust ja muuta tegelik ründefaas lihtsamaks.

Rühm kasutab ka mitmesuguseid analüütilisi tööriistu, et uurida ja jälgida inimesi, sealhulgas nende sirvimisharjumusi ja huvisid. Nad saavad seda teavet kasutada oma sotsiaalse manipuleerimise kampaaniate edendamiseks ja veelgi rohkemate teadmiste saamiseks. WindShift on kasutanud nii avalikult kättesaadavaid tööriistu kui ka utiliite, mille nad on ise teinud. Üks viis, kuidas rühm kogub teavet nende eesmärkide kohta, on saata neile linke seaduslikele veebilehtedele.

Häkkerid püüavad saada sihtmärgilt sisselogimismandaate, kui neil on töötamiseks piisavalt teavet. Rühm on oma sihtmärkidelt mandaatide hankimiseks kasutanud muu hulgas Apple iCloudi ja Gmaili. Rühm saadab oma sihtmärgile sõnumi, mis hoiatab neid, et nad peavad oma parooli lähtestama. Sihtmärk saadetakse lehele, mis näib olevat legitiimne, kuid on võltsitud taasteleht, mis on loodud teabe varastamiseks. Kui sihtmärk seda triki ei taba, liigub WindShift soovitud teabe hankimiseks häkkimistööriistade juurde.

Lisaks avalikult kättesaadavate tööriistade kasutamisele on Windshift loonud mitmeid kohandatud häkkimistööriistu ja ohte, näiteks järgmised:

• WindDrop – Windowsi süsteemidele mõeldud Trooja allalaadija, mida märgati esmakordselt 2018. aastal.
• WindTail – OSX-süsteemide jaoks loodud pahavara, mis kogub kindlaid failitüüpe või faile, millel on teatud kriteeriumidele vastavad nimed. Samuti on see võimeline rünnatud süsteemi lisama täiendavat pahavara.
• WindTape – OSX-süsteemide jaoks loodud tagaukse troojalane, mis suudab teha ekraanipilte.

Nendel tööriistadel on mõned täiustatud võimalused, näiteks DNS-i sätetega manipuleerimine ja kasutajate erinevatele veebilehtedele saatmine. WindShift saab juhtida ohustatud süsteemide Interneti-ühendusi ja saata need teistele veebisaitidele. Need veebisaidid on loodud välja nägema täpselt nagu päris ja neid kasutatakse sihtmärkidelt sisselogimismandaatide ja lisateabe hankimiseks.

WindShift APT on kahtlemata üks ebatavalisemaid häkkimisrühmitusi. Rühm läheneb oma sihtmärkidele ja rünnakutele teistmoodi kui teistel tuntud APT-del. Rühm tugineb suuresti sotsiaalsele insenerile ja on peamiselt suunatud Maci arvutitele. See teebki neist häkkimismaailmas sellise mõistatuse. Turvateadlased püüavad endiselt oma tegevusprotseduure ja motivatsiooni välja töötada. Sellegipoolest tõestab rühm kindlasti, et teie Mac pole viiruste suhtes nii immuunne, kui arvate.