WindShift APT

Mit da Mac računala ne dobivaju viruse je upravo to: mit. Realnost je da su Mac virusi samo rjeđi. One još uvijek postoje, ali hakerske grupe ne smatraju njihovo stvaranje prioritetom. Ipak, svako toliko naiđe grupa poput WindShifta.

WindShift je ono što se smatra APT (Advanced Persistent Threat). To su grupe kojih su istraživači sigurnosti svjesni i koje prate. Infrastruktura, alati i ciljevi APT-a općenito su dobro poznati jer se tako pomno proučavaju. Neke su grupe prikrivenije i sposobne djelovati tiho bez praćenja. Teže je paziti na te grupe. WindShift je jedna od tih grupa i, prema istraživačima, djeluje najranije od 2017. godine.

WindShift APT prvenstveno se fokusira na izviđačke operacije. Grupa se bavila velikim ciljevima kao što su vlade i organizacije, ali se također čini da ide za određenim ciljevima odabranim prije vremena. Zanimljiva stvar u vezi s njihovim metama je da izgledaju potpuno nepovezano. Istraživači kibernetičke sigurnosti još nisu pronašli niti jednu poveznicu između meta. WindShift također ima drugačiji pristup od ostalih grupa. Grupa se ne oslanja toliko na zlonamjerni softver i ransomware kako bi dobila informacije koje traže kao druge grupe. Umjesto toga, ovaj APT koristi sofisticirani društveni inženjering za suptilno dobivanje podataka od ciljeva. Većina meta čak ni ne shvaća da nešto nije u redu dok ne bude prekasno.

Zahvaljujući ovom oslanjanju na tajnost, grupa može izvoditi operacije dulje vrijeme bez da bude uhvaćena. Poznato je da WindShift kampanje traju mjesecima. Stručnjaci sugeriraju da su neke od ciljeva koje je WindShift pogodio promatrane mjesecima prije nego što je grupa započela bilo kakve stvarne operacije hakiranja. WindShift to čini korištenjem lažnih naloga na društvenim mrežama, vođenjem rasprava s ciljevima o povezanim temama i stvaranjem zanimljivog sadržaja putem lažnih publikacija. Povezuju se sa svojim metama kako bi stekli povjerenje i olakšali stvarnu fazu napada.

Grupa također koristi niz analitičkih alata za proučavanje i promatranje pojedinaca, uključujući njihove navike pregledavanja i interese. Oni mogu koristiti ove informacije za unapređenje svojih kampanja društvenog inženjeringa i stjecanje još više znanja. WindShift je koristio i javno dostupne alate i uslužne programe koje su sami izradili. Jedan od načina na koji grupa prikuplja informacije o stvarima koje vole je da im pošalje poveznice na legitimne web stranice.

Hakeri će pokušati dobiti vjerodajnice za prijavu od cilja nakon što imaju dovoljno informacija za rad. Grupa je koristila Apple iCloud i Gmail, između ostalih, za dobivanje vjerodajnica od svojih ciljeva. Grupa šalje svojoj meti poruku koja ih upozorava da moraju poništiti svoju lozinku. Cilj se šalje na stranicu koja se čini legitimnom, ali je lažna stranica za oporavak dizajnirana za krađu informacija. Ako meta ne padne na trik, onda WindShift prelazi na alate za hakiranje kako bi dobili informacije koje žele.

Osim korištenja javno dostupnih alata, Windshift je stvorio nekoliko prilagođenih alata za hakiranje i prijetnji, kao što su sljedeće:

• WindDrop – Trojanski program za preuzimanje dizajniran za Windows sustave, koji je prvi put uočen 2018.
• WindTail – Zlonamjerni softver dizajniran za OSX sustave, koji prikuplja određene vrste datoteka ili datoteke koje imaju određena imena koja odgovaraju njegovim kriterijima. Također je sposoban postaviti dodatni zlonamjerni softver na kompromitirani sustav.
• WindTape – backdoor trojanac dizajniran za OSX sustave koji može snimati snimke zaslona.

Ovi alati imaju neke napredne mogućnosti, kao što je mogućnost manipuliranja postavkama DNS-a i slanje korisnika na različite web stranice. WindShift može kontrolirati internetske veze kompromitiranih sustava i umjesto toga ih slati na druge web stranice. Ove su web stranice dizajnirane da izgledaju baš kao prava stvar i koriste se za dobivanje vjerodajnica za prijavu i dodatnih informacija od ciljeva.

WindShift APT je nedvojbeno jedna od neobičnijih hakerskih grupa. Grupa ima drugačiji pristup svojim metama i napadima od ostalih poznatih APT-a. Grupa se uvelike oslanja na društveni inženjering i prvenstveno cilja na Mac računala. To ih čini takvom enigmom u svijetu hakiranja. Istraživači sigurnosti još uvijek pokušavaju razraditi svoje operativne postupke i motivaciju. Ipak, grupa definitivno dokazuje da vaš Mac nije toliko imun na viruse kao što mislite da jest.