WindShift APT

Myytti siitä, että Mac-tietokoneet eivät saa viruksia, on juuri se: myytti. Tosiasia on, että Mac-virukset ovat vain harvinaisempia. Ne ovat edelleen olemassa, mutta hakkerointiryhmät eivät tee niiden luomisesta prioriteettia. Aina niin usein kuitenkin mukana tulee ryhmä, kuten WindShift.

WindShift on se, mitä pidetään APT:nä (Advanced Persistent Threat). Nämä ovat ryhmiä, jotka turvallisuustutkijat ovat tietoisia ja joita seurataan. APT:n infrastruktuuri, työkalut ja kohteet ovat yleisesti tunnettuja, koska niitä tutkitaan niin tarkasti. Jotkut ryhmät ovat salaperäisempiä ja pystyvät toimimaan hiljaa ilman, että niitä seurataan. Näitä ryhmiä on vaikeampi pitää silmällä. WindShift on yksi näistä ryhmistä, ja tutkijoiden mukaan se on ollut toiminnassa aikaisintaan vuodesta 2017 lähtien.

WindShift APT keskittyy ensisijaisesti tiedustelutoimintaan. Ryhmä on työskennellyt suurten tavoitteiden, kuten hallitusten ja järjestöjen, kanssa, mutta näyttää myös pyrkivän tiettyihin, etukäteen valittuihin tavoitteisiin. Mielenkiintoinen asia heidän kohteissaan on, että ne näyttävät täysin riippumattomilta. Kyberturvallisuustutkijat eivät ole vielä löytäneet yhtä yhdistävää linkkiä kohteiden välille. WindShift käyttää myös erilaista lähestymistapaa kuin muut ryhmät. Ryhmä ei luota yhtä paljon haittaohjelmiin ja kiristysohjelmiin saadakseen etsimäänsä tietoa kuin muut ryhmät. Sen sijaan tämä APT käyttää hienostunutta sosiaalista suunnittelua saadakseen tietoja kohteista hienovaraisesti. Useimmat kohteet eivät edes tajua, että mitään on vialla, ennen kuin on liian myöhäistä.

Juuri tämän varkain luottamuksen ansiosta ryhmä voi suorittaa operaatioita pitkiä aikoja jäämättä kiinni. WindShift-kampanjoiden tiedetään kestäneen kuukausia kerrallaan. Asiantuntijat ehdottavat, että joitain WindShiftin osumia kohteita havaittiin kuukausia ennen kuin ryhmä aloitti varsinaisen hakkeroinnin. WindShift tekee tämän käyttämällä väärennettyjä sosiaalisen median tilejä, keskustelemalla kohteiden kanssa samankaltaisista aiheista ja luomalla kiinnostavaa sisältöä väärennetyillä julkaisuilla. He muodostavat yhteyden kohteisiinsa ansaitakseen luottamuksen ja helpottaakseen varsinaista hyökkäysvaihetta.

Ryhmä käyttää myös erilaisia analyyttisiä työkaluja yksilöiden tutkimiseen ja tarkkailuun, mukaan lukien heidän selaustottumuksiaan ja kiinnostuksen kohteitaan. He voivat käyttää näitä tietoja edistääkseen sosiaalisen suunnittelun kampanjoita ja hankkiakseen entistä enemmän tietoa. WindShift on käyttänyt sekä julkisesti saatavilla olevia työkaluja että itse tekemiään apuohjelmia. Yksi tapa, jolla ryhmä kerää tietoa kohteistaan, on lähettää heille linkkejä laillisille verkkosivuille.

Hakkerit yrittävät saada kirjautumistiedot kohteelta, kun heillä on tarpeeksi tietoa käytettäväksi. Ryhmä on käyttänyt muun muassa Apple iCloudia ja Gmailia saadakseen tunnistetiedot kohteistaan. Ryhmä lähettää kohdelleen viestin, jossa varoitetaan, että heidän on vaihdettava salasana. Kohde lähetetään sivulle, joka näyttää aidolta, mutta on väärennetty palautussivu, joka on suunniteltu varastamaan tietoja. Jos kohde ei osu temppuun, WindShift siirtyy hakkerointityökaluihin saadakseen haluamansa tiedot.

Julkisten työkalujen käytön lisäksi Windshift on luonut useita mukautettuja hakkerointityökaluja ja uhkia, kuten seuraavat:

• WindDrop – Windows-järjestelmille suunniteltu troijalainen latausohjelma, joka havaittiin ensimmäisen kerran vuonna 2018.
• WindTail – OSX-järjestelmille suunniteltu haittaohjelma, joka kerää tiettyjä tiedostotyyppejä tai tiedostoja, joilla on tietyt nimet, jotka sopivat sen kriteereihin. Se pystyy myös istuttamaan ylimääräisiä haittaohjelmia vaarantuneeseen järjestelmään.
• WindTape – OSX-järjestelmille suunniteltu takaoven troijalainen, joka pystyy ottamaan kuvakaappauksia.

Näillä työkaluilla on joitain edistyneitä ominaisuuksia, kuten ne voivat muokata DNS-asetuksia ja lähettää käyttäjiä eri web-sivuille. WindShift voi hallita vaarantuneiden järjestelmien Internet-yhteyksiä ja lähettää ne muille verkkosivustoille. Nämä sivustot on suunniteltu näyttämään aivan todellisilta, ja niitä käytetään kirjautumistietojen ja lisätietojen hankkimiseen kohteista.

WindShift APT on epäilemättä yksi epätavallisimmista hakkerointiryhmistä. Ryhmällä on erilainen lähestymistapa kohteisiinsa ja hyökkäyksiinsä kuin muilla tunnetuilla APT:illä. Ryhmä luottaa vahvasti sosiaaliseen suunnitteluun ja keskittyy ensisijaisesti Mac-tietokoneisiin. Tämä tekee heistä niin arvoituksen hakkerointimaailmassa. Turvatutkijat yrittävät vielä selvittää toimintatapojaan ja motiivejaan. Silti ryhmä todistaa ehdottomasti, että Macisi ei ole niin immuuni viruksille kuin luulet.