WindShift APT

Mīts, ka Mac datori nesaņem vīrusus, ir tikai mīts. Realitāte ir tāda, ka Mac vīrusi ir retāk sastopami. Tie joprojām pastāv, taču uzlaušanas grupas to izveidi nepadara par prioritāti. Tomēr ik pa laikam parādās tāda grupa kā WindShift.

WindShift tiek uzskatīts par APT (Advanced Persistent Threat). Tās ir grupas, kuras drošības pētnieki apzinās un izseko. APT infrastruktūra, rīki un mērķi parasti ir labi zināmi, jo tie tiek rūpīgi pārbaudīti. Dažas grupas ir slēptākas un spēj darboties klusi bez izsekošanas. Ir grūtāk sekot līdzi šīm grupām. WindShift ir viena no šīm grupām, un, pēc pētnieku domām, tā ir darbojusies ne agrāk kā 2017. gadā.

WindShift APT galvenokārt koncentrējas uz izlūkošanas operācijām. Grupa ir sadarbojusies ar lieliem mērķiem, piemēram, valdībām un organizācijām, taču šķiet, ka tā arī cenšas sasniegt konkrētus mērķus, kas izvēlēti pirms laika. Interesanti viņu mērķi ir tas, ka tie šķiet pilnīgi nesaistīti. Kiberdrošības pētniekiem vēl ir jāatrod viena savienojošā saikne starp mērķiem. WindShift arī izmanto atšķirīgu pieeju nekā citām grupām. Grupa nav tik ļoti paļaujas uz ļaunprātīgu programmatūru un izspiedējprogrammatūru, lai iegūtu informāciju, ko viņi meklē, kā to dara citas grupas. Tā vietā šī APT izmanto sarežģītu sociālo inženieriju, lai smalki iegūtu datus no mērķiem. Lielākā daļa mērķu pat neapzinās, ka kaut kas nav kārtībā, kamēr nav par vēlu.

Pateicoties šai paļaušanai uz slēpšanu, grupa var veikt operācijas ilgu laiku bez pieķeršanas. Ir zināms, ka WindShift kampaņas ir notikušas vairākus mēnešus. Eksperti norāda, ka daži no WindShift trāpītajiem mērķiem tika novēroti vairākus mēnešus, pirms grupa sāka reālas hakeru darbības. WindShift to dara, izmantojot viltotus sociālo mediju kontus, rīkojot diskusijas ar mērķauditorijām par saistītām tēmām un radot saistošu saturu, izmantojot viltus publikācijas. Viņi sazinās ar saviem mērķiem, lai nopelnītu uzticību un atvieglotu faktisko uzbrukuma posmu.

Grupa izmanto arī virkni analītisko rīku, lai pētītu un novērotu indivīdus, tostarp viņu pārlūkošanas paradumus un intereses. Viņi var izmantot šo informāciju, lai turpinātu savas sociālās inženierijas kampaņas un iegūtu vēl vairāk zināšanu. WindShift ir izmantojis gan publiski pieejamus rīkus, gan utilītas, ko paši ir izveidojuši. Viens no veidiem, kā grupa apkopo informāciju par to, ko viņi vēlas, ir nosūtīt viņiem saites uz likumīgām tīmekļa lapām.

Hakeri mēģinās iegūt pieteikšanās akreditācijas datus no mērķa, tiklīdz viņiem būs pietiekami daudz informācijas, ar kuru strādāt. Grupa cita starpā ir izmantojusi Apple iCloud un Gmail, lai iegūtu akreditācijas datus no saviem mērķiem. Grupa nosūta savam mērķim ziņojumu, brīdinot, ka viņiem ir jāatjauno parole. Mērķis tiek nosūtīts uz lapu, kas šķiet likumīga, bet ir viltota atkopšanas lapa, kas paredzēta informācijas zagšanai. Ja mērķis nepiekrīt, WindShift pāriet uz uzlaušanas rīkiem, lai iegūtu vajadzīgo informāciju.

Papildus publiski pieejamo rīku izmantošanai Windshift ir izveidojis vairākus pielāgotus uzlaušanas rīkus un draudus, piemēram, šādus:

• WindDrop — Windows sistēmām izstrādāts Trojas zirgu lejupielādētājs, kas pirmo reizi tika pamanīts 2018. gadā.
• WindTail — OSX sistēmām paredzēta ļaunprātīga programmatūra, kas apkopo noteiktus failu tipus vai failus, kuriem ir noteikti nosaukumi, kas atbilst tās kritērijiem. Tas arī spēj uzlauztajā sistēmā ievietot papildu ļaunprātīgu programmatūru.
• WindTape – aizmugures Trojas zirgs, kas paredzēts OSX sistēmām, kas spēj uzņemt ekrānuzņēmumus.

Šiem rīkiem ir dažas uzlabotas iespējas, piemēram, tie var manipulēt ar DNS iestatījumiem un nosūtīt lietotājus uz dažādām tīmekļa lapām. WindShift var kontrolēt apdraudēto sistēmu interneta savienojumus un tā vietā nosūtīt tos uz citām vietnēm. Šīs vietnes ir veidotas tā, lai tās izskatītos kā īstas, un tās tiek izmantotas, lai iegūtu pieteikšanās akreditācijas datus un papildu informāciju no mērķiem.

WindShift APT neapšaubāmi ir viena no neparastākajām hakeru grupām. Grupai ir atšķirīga pieeja saviem mērķiem un uzbrukumiem nekā citiem zināmajiem APT. Grupa lielā mērā paļaujas uz sociālo inženieriju un galvenokārt ir vērsta uz Mac datoriem. Tas viņus padara par tādu mīklainu hakeru pasaulē. Drošības pētnieki joprojām mēģina izstrādāt savas darbības procedūras un motivāciju. Tomēr grupa noteikti pierāda, ka jūsu Mac dators nav tik imūns pret vīrusiem, kā jūs domājat.