WindShift APT

Az a mítosz, hogy a Mac számítógépek nem kapnak vírusokat, csak ez: egy mítosz. A valóság az, hogy a Mac-vírusok kevésbé gyakoriak. Még mindig léteznek, de a hackercsoportok nem teszik prioritássá létrehozásukat. Gyakran előfordul azonban olyan csoport, mint a WindShift.

A WindShift az APT-nek (Advanced Persistent Threat) számít. Ezek olyan csoportok, amelyeket a biztonsági kutatók ismernek és nyomon követnek. Az APT infrastruktúrája, eszközei és céljai általában jól ismertek, mert olyan alaposan megvizsgálják őket. Egyes csoportok lopakodóbbak, és képesek csendesen működni anélkül, hogy nyomon követnék őket. Nehezebb ezeket a csoportokat szemmel tartani. A WindShift ezen csoportok közé tartozik, és a kutatók szerint legkorábban 2017 óta működik.

A WindShift APT elsősorban a felderítési műveletekre összpontosít. A csoport olyan nagy célokat tűzött ki maga elé, mint a kormányok és a szervezetek, de úgy tűnik, hogy az előre kiválasztott konkrét célokat is követi. A célpontjaik érdekessége, hogy úgy tűnik, teljesen függetlenek egymástól. A kiberbiztonsági kutatók még nem találtak egyetlen összekötő kapcsolatot a célpontok között. A WindShift is más megközelítést alkalmaz, mint a többi csoport. A csoport nem támaszkodik annyira a rosszindulatú programokra és a zsarolóprogramokra, hogy megszerezze az általuk keresett információkat, mint más csoportok. Ehelyett ez az APT kifinomult szociális tervezést alkalmaz, hogy finoman nyerjen adatokat a célpontoktól. A legtöbb célpont észre sem veszi, hogy bármi baj van, amíg nem késő.

Ennek a lopakodásnak köszönhető, hogy a csoport hosszú ideig végezhet műveleteket anélkül, hogy elkapják. A WindShift kampányokról tudni lehetett, hogy hónapokig tartanak. A szakértők azt sugallják, hogy a WindShift által eltalált célpontok egy részét hónapokig figyelték meg, mielőtt a csoport tényleges hackerműveletbe kezdett volna. A WindShift ezt hamis közösségimédia-fiókok használatával éri el, megbeszéléseket folytat a célpontokkal a kapcsolódó témákról, és vonzó tartalmat hoz létre hamis kiadványokon keresztül. Kapcsolatba lépnek célpontjaikkal, hogy kivívják a bizalmat, és megkönnyítsék a tényleges támadási fázist.

A csoport számos elemző eszközt is használ az egyének tanulmányozására és megfigyelésére, beleértve a böngészési szokásaikat és érdeklődési köreiket. Ezeket az információkat felhasználhatják szociális tervezési kampányaik továbbfejlesztésére, és még több tudásra tehetnek szert. A WindShift nyilvánosan elérhető eszközöket és segédprogramokat is használt, amelyeket saját maguk készítettek. Az egyik módja annak, hogy a csoport információkat gyűjtsön a célpontjaikról, az az, hogy legitim weboldalakra mutató hivatkozásokat küldenek nekik.

A hackerek megpróbálják megszerezni a bejelentkezési adatokat a célponttól, amint elegendő információval rendelkeznek a munkához. A csoport többek között az Apple iCloudot és a Gmailt használta arra, hogy hitelesítő adatokat szerezzen be célpontjaiktól. A csoport üzenetet küld a célpontnak, amelyben figyelmezteti, hogy vissza kell állítania a jelszavát. A cél egy olyan oldalra kerül, amely legitimnek tűnik, de egy hamisított helyreállítási oldal, amelyet információk ellopására terveztek. Ha a célpont nem esik be a trükkbe, akkor a WindShift áttér a hackereszközökre, hogy megszerezze a kívánt információkat.

A nyilvánosan elérhető eszközökön kívül a Windshift számos egyedi hackereszközt és fenyegetést hozott létre, például a következőket:

• WindDrop – Windows rendszerekre tervezett trójai letöltő, amelyet először 2018-ban észleltek.
• WindTail – OSX rendszerekre tervezett rosszindulatú program, amely meghatározott fájltípusokat vagy fájlokat gyűjt össze, amelyek bizonyos nevei megfelelnek a kritériumoknak. Ezenkívül képes további rosszindulatú programokat telepíteni a feltört rendszerre.
• WindTape – OSX rendszerekhez tervezett hátsó ajtós trójai, amely képes képernyőképeket készíteni.

Ezek az eszközök bizonyos fejlett képességekkel rendelkeznek, például képesek a DNS-beállítások manipulálására és a felhasználók különböző weboldalakra küldésére. A WindShift képes szabályozni a feltört rendszerek internetkapcsolatait, és ehelyett elküldi azokat más webhelyekre. Ezeket a webhelyeket úgy tervezték, hogy úgy nézzenek ki, mint a valódiak, és bejelentkezési hitelesítő adatok és további információk beszerzésére szolgálnak a célpontoktól.

A WindShift APT kétségtelenül az egyik legszokatlanabb hackercsoport. A csoport más módon közelíti meg célpontjait és támadásait, mint más ismert APT-k. A csoport nagymértékben támaszkodik a social engineeringre, és elsősorban a Mac számítógépeket célozza meg. Ez az, ami miatt akkora rejtély a hackerek világában. A biztonsági kutatók még mindig próbálják kidolgozni működési eljárásaikat és motivációikat. Ennek ellenére a csoport határozottan bizonyítja, hogy a Mac számítógépe nem annyira immunis a vírusokkal szemben, mint gondolná.