WindShift APT
המיתוס שמחשבי מק אינם מקבלים וירוסים הוא בדיוק זה: מיתוס. המציאות היא שווירוסי מק הם פשוט פחות נפוצים. הם עדיין קיימים, אבל קבוצות פריצה לא נותנות את יצירתם בראש סדר העדיפויות. עם זאת, מדי כמה זמן מגיעה קבוצה כמו WindShift.
WindShift הוא מה שנחשב APT (Advanced Persistent Threat). אלו קבוצות שחקרי אבטחה מודעים להן ועוקבים אחריהן. התשתית, הכלים והיעדים של APT ידועים בדרך כלל מכיוון שהם נבדקים כל כך מקרוב. קבוצות מסוימות חשפנות יותר ומסוגלות לפעול בשקט מבלי לעקוב אחריהם. קשה יותר לפקוח עין על הקבוצות האלה. WindShift היא אחת מאותן קבוצות, ולפי החוקרים היא פעילה מאז 2017 לכל המוקדם ביותר.
ה- WindShift APT מתמקד בעיקר בפעולות סיור. הקבוצה עסקה ביעדים גדולים כמו ממשלות וארגונים, אך נראה גם שהיא הולכת אחרי יעדים ספציפיים שנבחרו מבעוד מועד. הדבר המעניין במטרות שלהם הוא שהם נראים לגמרי לא קשורים. חוקרי אבטחת סייבר עדיין לא מצאו קשר אחד מקשר בין המטרות. WindShift נוקטת גם גישה שונה מקבוצות אחרות. הקבוצה לא מסתמכת במידה רבה על תוכנות זדוניות ותוכנות כופר כדי לקבל את המידע שהם מחפשים, כמו שקבוצות אחרות עושות. במקום זאת, APT זה משתמש בהנדסה חברתית מתוחכמת כדי להשיג נתונים מיעדים בעדינות. רוב המטרות אפילו לא מבינות שמשהו לא בסדר עד שזה מאוחר מדי.
הודות להסתמכות זו על התגנבות הקבוצה יכולה לבצע פעולות לפרקי זמן ממושכים מבלי להיתפס. ידוע כי קמפיינים של WindShift נמשכים חודשים בכל פעם. מומחים טוענים שחלק מהמטרות שפגעה בו WindShift נצפו במשך חודשים לפני שהקבוצה החלה בפעולות פריצה ממשיות. WindShift עושה זאת באמצעות שימוש בחשבונות מזויפים במדיה חברתית, ניהול דיונים עם יעדים על נושאים קשורים ויצירת תוכן מרתק באמצעות פרסומים מזויפים. הם מתחברים למטרות שלהם כדי לזכות באמון ולהקל על שלב ההתקפה בפועל.
הקבוצה גם משתמשת במגוון כלים אנליטיים כדי ללמוד ולהתבונן באנשים, כולל הרגלי הגלישה ותחומי העניין שלהם. הם יכולים להשתמש במידע הזה כדי לקדם את מסעות הפרסום שלהם להנדסה חברתית ולצבור עוד יותר ידע. WindShift השתמשה הן בכלים הזמינים לציבור והן בכלי עזר שהם יצרו בעצמם. אחת הדרכים שבהן הקבוצה אוספת מידע על הדברים שהמטרות שלהם אוהבות היא לשלוח להם קישורים לדפי אינטרנט לגיטימיים.
ההאקרים ינסו להשיג אישורי כניסה ממטרה ברגע שיהיה להם מספיק מידע לעבוד איתו. הקבוצה השתמשה בין היתר ב-Apple iCloud וב-Gmail כדי להשיג אישורים מהמטרות שלהם. הקבוצה שולחת למטרה שלהם הודעה שמתריעה להם שהם צריכים לאפס את הסיסמה שלהם. היעד נשלח לדף שנראה לגיטימי אך הוא דף שחזור מזויף שנועד לגנוב מידע. אם המטרה לא נופלת בטריק, אז WindShift עוברים לכלי פריצה כדי לקבל את המידע שהם רוצים.
מלבד השימוש בכלים הזמינים לציבור, Windshift יצרה מספר כלי פריצה ואיומים מותאמים אישית, כגון:
- WindDrop - תוכנת הורדה טרויאנית המיועדת למערכות Windows, אשר זוהה לראשונה ב-2018.
- WindTail - תוכנה זדונית המיועדת למערכות OSX, אשר אוספת סוגי קבצים ספציפיים או קבצים בעלי שמות מסוימים המתאימים לקריטריונים שלו. הוא גם מסוגל לשתול תוכנות זדוניות נוספות על המערכת שנפרצה.
- WindTape - טרויאני בדלת אחורית המיועד למערכות OSX המסוגל לצלם צילומי מסך.
לכלים אלה יש כמה יכולות מתקדמות, כמו היכולת לתפעל הגדרות DNS ולשלוח משתמשים לדפי אינטרנט שונים. WindShift יכולה לשלוט בחיבורי האינטרנט של מערכות שנפגעו ולשלוח אותם לאתרים אחרים במקום זאת. אתרים אלו נועדו להיראות בדיוק כמו הדבר האמיתי ומשמשים להשגת אישורי כניסה ומידע נוסף ממטרות.
WindShift APT היא ללא ספק אחת מקבוצות הפריצה היותר יוצאות דופן בסביבה. לקבוצה יש גישה שונה למטרות ולתקיפות שלה מאשר APTs ידועים אחרים. הקבוצה מסתמכת במידה רבה על הנדסה חברתית ומכוונת בעיקר למחשבי מק. זה מה שהופך אותם לאניגמה כזו בעולם ההאקינג. חוקרי אבטחה עדיין מנסים לחשב את הנהלים המבצעיים והמניעים שלהם. ובכל זאת, הקבוצה בהחלט מוכיחה שה-Mac שלך אינו חסין מפני וירוסים כפי שאתה חושב שהוא.
