Windshift APT

Il mito che i computer Mac non ricevano virus è proprio questo: un mito. La realtà è che i virus per Mac sono solo meno comuni. Esistono ancora, ma i gruppi di hacking non rendono la loro creazione una priorità. Ogni tanto, però, arriva un gruppo come WindShift.

WindShift è ciò che è considerato un APT (Advanced Persistent Threat). Questi sono gruppi di cui i ricercatori di sicurezza sono a conoscenza e di cui tengono traccia. L'infrastruttura, gli strumenti e gli obiettivi di un APT sono generalmente ben noti perché sono esaminati da vicino. Alcuni gruppi sono più furtivi e in grado di operare silenziosamente senza essere rintracciati. È più difficile tenere d'occhio quei gruppi. WindShift è uno di questi gruppi e, secondo i ricercatori, è operativo al più presto dal 2017.

Il WindShift APT si concentra principalmente sulle operazioni di ricognizione. Il gruppo si è impegnato con grandi obiettivi come governi e organizzazioni, ma sembra anche perseguire obiettivi specifici scelti in anticipo. La cosa interessante dei loro obiettivi è che sembrano completamente estranei. I ricercatori sulla sicurezza informatica devono ancora trovare un unico collegamento tra gli obiettivi. WindShift adotta anche un approccio diverso rispetto ad altri gruppi. Il gruppo non fa molto affidamento su malware e ransomware per ottenere le informazioni che cercano come fanno gli altri gruppi. Invece, questo APT utilizza una sofisticata ingegneria sociale per ottenere dati dai bersagli in modo sottile. La maggior parte degli obiettivi non si rende nemmeno conto che qualcosa non va finché non è troppo tardi.

È grazie a questa dipendenza dalla furtività che il gruppo può svolgere operazioni per lunghi periodi di tempo senza essere scoperto. È noto che le campagne WindShift durano mesi alla volta. Gli esperti suggeriscono che alcuni dei bersagli colpiti da WindShift sono stati osservati per mesi prima che il gruppo iniziasse qualsiasi operazione di hacking. WindShift lo fa attraverso l'uso di account di social media falsi, tenendo discussioni con obiettivi su argomenti correlati e creando contenuti accattivanti attraverso pubblicazioni false. Si connettono con i loro obiettivi per guadagnare fiducia e rendere più facile la fase di attacco vera e propria.

Il gruppo utilizza anche una serie di strumenti analitici per studiare e osservare le persone, comprese le loro abitudini e interessi di navigazione. Possono utilizzare queste informazioni per promuovere le loro campagne di ingegneria sociale e acquisire ancora più conoscenze. WindShift ha utilizzato sia strumenti disponibili pubblicamente che utilità che si sono creati personalmente. Un modo in cui il gruppo raccoglie informazioni sulle cose che piacciono ai loro obiettivi è inviare loro collegamenti a pagine Web legittime.

Gli hacker tenteranno di ottenere le credenziali di accesso da un obiettivo una volta che avranno sufficienti informazioni con cui lavorare. Il gruppo ha utilizzato Apple iCloud e Gmail, tra gli altri, per ottenere le credenziali dai propri obiettivi. Il gruppo invia al target un messaggio avvertendolo della necessità di reimpostare la password. Il target viene inviato a una pagina che sembra legittima ma è una pagina di ripristino contraffatta progettata per rubare informazioni. Se l'obiettivo non cade nel trucco, WindShift passa agli strumenti di hacking per ottenere le informazioni desiderate.

Oltre all'utilizzo di strumenti disponibili pubblicamente, Windshift ha creato diversi strumenti e minacce di hacking personalizzati, come i seguenti:

• WindDrop – Un downloader di trojan progettato per i sistemi Windows, che è stato individuato per la prima volta nel 2018.
• WindTail – Un malware progettato per i sistemi OSX, che raccoglie tipi di file specifici o file con determinati nomi che corrispondono ai suoi criteri. È anche in grado di installare malware aggiuntivo sul sistema compromesso.
• WindTape – Un Trojan backdoor progettato per i sistemi OSX in grado di acquisire schermate.

Questi strumenti hanno alcune funzionalità avanzate, come la possibilità di manipolare le impostazioni DNS e inviare utenti a pagine Web diverse. WindShift può controllare le connessioni Internet dei sistemi compromessi e inviarli invece ad altri siti Web. Questi siti Web sono progettati per assomigliare alla realtà e vengono utilizzati per ottenere credenziali di accesso e informazioni aggiuntive dai target.

WindShift APT è senza dubbio uno dei gruppi di hacker più insoliti in circolazione. Il gruppo ha un approccio diverso ai propri obiettivi e attacchi rispetto ad altri APT noti. Il gruppo fa molto affidamento sull'ingegneria sociale e prende di mira principalmente i computer Mac. Questo è ciò che li rende un tale enigma nel mondo dell'hacking. I ricercatori della sicurezza stanno ancora cercando di elaborare le loro procedure e motivazioni operative. Tuttavia, il gruppo dimostra definitivamente che il tuo Mac non è immune ai virus come pensi.