WindShift APT
این افسانه که کامپیوترهای مک ویروس دریافت نمی کنند فقط همین است: یک افسانه. واقعیت این است که ویروسهای مک کمتر رایج هستند. آنها هنوز وجود دارند، اما گروه های هک ایجاد آنها را در اولویت قرار نمی دهند. هرچند هر چند وقت یکبار گروهی مانند WindShift می آید.
WindShift چیزی است که یک APT (تهدید دائمی پیشرفته) در نظر گرفته می شود. اینها گروه هایی هستند که محققان امنیتی از آنها آگاه هستند و آنها را دنبال می کنند. زیرساخت ها، ابزارها و اهداف یک APT عموماً شناخته شده هستند زیرا بسیار دقیق مورد بررسی قرار می گیرند. برخی از گروه ها مخفیانه تر هستند و می توانند بی سر و صدا بدون ردیابی عمل کنند. زیر نظر گرفتن این گروه ها سخت تر است. WindShift یکی از این گروه ها است و به گفته محققان، از ابتدای سال 2017 عملیاتی شده است.
WindShift APT در درجه اول بر عملیات شناسایی متمرکز است. این گروه با اهداف بزرگی مانند دولتها و سازمانها درگیر بوده است، اما به نظر میرسد اهداف خاصی را که زودتر از موعد انتخاب شده دنبال میکنند. نکته جالب در مورد اهداف آنها این است که کاملاً نامرتبط به نظر می رسند. محققان امنیت سایبری هنوز نتوانستهاند پیوندی واحد بین اهداف پیدا کنند. WindShift نیز رویکرد متفاوتی نسبت به سایر گروه ها دارد. این گروه برای به دست آوردن اطلاعاتی که به دنبال آن هستند مانند سایر گروه ها، به بدافزارها و باج افزارها تکیه نمی کند. در عوض، این APT از مهندسی اجتماعی پیچیده برای به دست آوردن دادهها از اهداف به صورت نامحسوس استفاده میکند. اکثر اهداف حتی تا زمانی که خیلی دیر نشده است متوجه نمی شوند چیزی اشتباه است.
به لطف این اتکا به پنهان کاری است که این گروه میتواند برای مدت طولانی بدون دستگیر شدن عملیات انجام دهد. کمپینهای WindShift در ماههای گذشته شناخته شدهاند. کارشناسان پیشنهاد میکنند که برخی از اهدافی که WindShift به آنها اصابت کرد، برای ماهها قبل از اینکه این گروه عملیات هک واقعی را آغاز کند، مشاهده شد. WindShift این کار را از طریق استفاده از حسابهای شبکههای اجتماعی جعلی، بحث و گفتگو با اهداف درباره موضوعات مرتبط و ایجاد محتوای جذاب از طریق انتشارات جعلی انجام میدهد. آنها با اهداف خود ارتباط برقرار می کنند تا اعتماد کسب کنند و مرحله حمله واقعی را آسان تر کنند.
این گروه همچنین از طیف وسیعی از ابزارهای تحلیلی برای مطالعه و مشاهده افراد، از جمله عادات و علایق مرور آنها استفاده می کند. آنها می توانند از این اطلاعات برای پیشبرد کمپین های مهندسی اجتماعی خود و کسب دانش بیشتر استفاده کنند. WindShift هم از ابزارهای در دسترس عموم و هم از ابزارهایی که خودشان ساخته اند استفاده کرده است. یکی از راههایی که گروه اطلاعاتی در مورد چیزهایی که هدفشان دوست دارند جمعآوری میکند، ارسال پیوندهایی به صفحات وب قانونی است.
هکرها زمانی که اطلاعات کافی برای کار با آنها را داشته باشند، سعی میکنند اعتبار ورود از یک هدف را به دست آورند. این گروه از اپل iCloud و Gmail، در میان دیگران، برای به دست آوردن اعتبار از اهداف خود استفاده کرده است. این گروه پیامی به هدف خود ارسال می کند که به آنها هشدار می دهد که باید رمز عبور خود را بازنشانی کنند. هدف به صفحهای ارسال میشود که قانونی به نظر میرسد اما یک صفحه بازیابی جعلی است که برای سرقت اطلاعات طراحی شده است. اگر هدف مورد نظر قرار نگیرد، WindShift به سراغ ابزارهای هک می رود تا اطلاعات مورد نظر خود را به دست آورد.
خارج از استفاده از ابزارهای در دسترس عموم، Windshift چندین ابزار و تهدید هک سفارشی ایجاد کرده است، مانند موارد زیر:
- WindDrop – دانلود کننده تروجان که برای سیستم های ویندوز طراحی شده است که اولین بار در سال 2018 مشاهده شد.
- WindTail – یک بدافزار طراحی شده برای سیستمهای OSX، که انواع فایلها یا فایلهایی را جمعآوری میکند که نامهای خاصی دارند که با معیارهای آن مطابقت دارند. همچنین می تواند بدافزار اضافی را روی سیستم در معرض خطر قرار دهد.
- WindTape – یک تروجان درب پشتی طراحی شده برای سیستم های OSX که قادر به گرفتن اسکرین شات است.
این ابزارها دارای برخی قابلیت های پیشرفته هستند، مانند اینکه می توانند تنظیمات DNS را دستکاری کنند و کاربران را به صفحات مختلف وب ارسال کنند. WindShift می تواند اتصالات اینترنتی سیستم های در معرض خطر را کنترل کند و در عوض آنها را به وب سایت های دیگر ارسال کند. این وبسایتها به گونهای طراحی شدهاند که دقیقاً شبیه چیزهای واقعی هستند و برای دریافت اعتبار ورود و اطلاعات اضافی از اهداف مورد استفاده قرار میگیرند.
WindShift APT بدون شک یکی از غیرمعمولترین گروههای هک در اطراف است. این گروه رویکرد متفاوتی نسبت به سایر APTهای شناخته شده برای اهداف و حملات خود دارد. این گروه به شدت بر مهندسی اجتماعی متکی است و در درجه اول کامپیوترهای مک را هدف قرار می دهد. این همان چیزی است که آنها را به معمایی در دنیای هک تبدیل می کند. محققان امنیتی هنوز در تلاش هستند تا رویه ها و انگیزه های عملیاتی خود را بررسی کنند. با این حال، این گروه قطعا ثابت می کند که مک شما آنقدر که فکر می کنید در برابر ویروس ها مصون نیست.