WindShift APT

Mitos bahawa komputer Mac tidak mendapat virus hanyalah: mitos. Realitinya ialah virus Mac kurang biasa. Mereka masih wujud, tetapi kumpulan penggodaman tidak menjadikan penciptaan mereka sebagai keutamaan. Walau bagaimanapun, selalunya, kumpulan seperti WindShift datang bersama.

WindShift ialah apa yang dianggap sebagai APT (Advanced Persistent Threat). Ini adalah kumpulan yang disedari dan dijejaki oleh penyelidik keselamatan. Infrastruktur, alatan dan sasaran APT secara amnya terkenal kerana ia diteliti dengan teliti. Sesetengah kumpulan lebih senyap dan boleh beroperasi dengan senyap tanpa dijejaki. Lebih sukar untuk mengawasi kumpulan tersebut. WindShift adalah salah satu daripada kumpulan tersebut dan, menurut penyelidik, telah beroperasi sejak 2017 paling awal.

WindShift APT tertumpu terutamanya pada operasi peninjauan. Kumpulan itu telah terlibat dengan sasaran besar seperti kerajaan dan organisasi tetapi juga nampaknya mengejar sasaran tertentu yang dipilih lebih awal. Perkara yang menarik tentang sasaran mereka ialah mereka kelihatan tidak berkaitan sama sekali. Penyelidik keselamatan siber masih belum menemui satu pautan penghubung antara sasaran. WindShift juga mengambil pendekatan yang berbeza daripada kumpulan lain. Kumpulan itu tidak terlalu bergantung pada perisian hasad dan perisian tebusan untuk mendapatkan maklumat yang mereka cari seperti kumpulan lain. Sebaliknya, APT ini menggunakan kejuruteraan sosial yang canggih untuk mendapatkan data daripada sasaran secara halus. Kebanyakan sasaran tidak menyedari apa-apa yang salah sehingga sudah terlambat.

Berkat pergantungan pada senyap inilah kumpulan itu boleh menjalankan operasi untuk jangka masa yang panjang tanpa ditangkap. Kempen WindShift telah diketahui selama berbulan-bulan pada satu masa. Pakar mencadangkan bahawa beberapa sasaran yang dilanda WindShift telah diperhatikan selama berbulan-bulan sebelum kumpulan itu memulakan sebarang operasi penggodaman sebenar. WindShift melakukan ini melalui penggunaan akaun media sosial palsu, mengadakan perbincangan dengan sasaran tentang topik yang boleh dikaitkan dan mencipta kandungan yang menarik melalui penerbitan palsu. Mereka berhubung dengan sasaran mereka untuk mendapatkan kepercayaan dan menjadikan fasa serangan sebenar lebih mudah.

Kumpulan itu juga menggunakan pelbagai alat analisis untuk mengkaji dan memerhati individu, termasuk tabiat dan minat menyemak imbas mereka. Mereka boleh menggunakan maklumat ini untuk meneruskan kempen kejuruteraan sosial mereka dan memperoleh lebih banyak pengetahuan. WindShift telah menggunakan kedua-dua alatan dan utiliti yang tersedia untuk umum yang telah mereka buat sendiri. Satu cara kumpulan itu mengumpulkan maklumat tentang perkara yang disasarkan mereka sukai ialah menghantar pautan ke halaman web yang sah kepada mereka.

Penggodam akan cuba mendapatkan kelayakan log masuk daripada sasaran sebaik sahaja mereka mempunyai maklumat yang mencukupi untuk digunakan. Kumpulan itu telah menggunakan Apple iCloud dan Gmail, antara lain, untuk mendapatkan bukti kelayakan daripada sasaran mereka. Kumpulan itu menghantar mesej kepada sasaran mereka yang memberitahu mereka bahawa mereka perlu menetapkan semula kata laluan mereka. Sasaran dihantar ke halaman yang kelihatan sah tetapi merupakan halaman pemulihan palsu yang direka untuk mencuri maklumat. Jika sasaran tidak jatuh untuk helah, maka WindShift beralih kepada alat penggodaman untuk mendapatkan maklumat yang mereka inginkan.

Di luar menggunakan alatan yang tersedia secara umum, Windshift telah mencipta beberapa alatan dan ancaman penggodaman tersuai, seperti yang berikut:

• WindDrop – Pemuat turun Trojan yang direka untuk sistem Windows, yang pertama kali dikesan pada 2018.
• WindTail – Satu perisian hasad yang direka untuk sistem OSX, yang mengumpul jenis fail atau fail tertentu yang mempunyai nama tertentu yang sesuai dengan kriterianya. Ia juga mampu menanam perisian hasad tambahan pada sistem yang terjejas.
• WindTape – Trojan pintu belakang yang direka untuk sistem OSX yang mampu mengambil tangkapan skrin.

Alat ini mempunyai beberapa keupayaan lanjutan, seperti boleh memanipulasi tetapan DNS dan menghantar pengguna ke halaman web yang berbeza. WindShift boleh mengawal sambungan internet sistem yang terjejas dan sebaliknya menghantarnya ke tapak web lain. Laman web ini direka bentuk untuk kelihatan seperti yang sebenar dan digunakan untuk mendapatkan kelayakan log masuk dan maklumat tambahan daripada sasaran.

WindShift APT sudah pasti salah satu kumpulan penggodaman yang lebih luar biasa. Kumpulan itu mempunyai pendekatan yang berbeza terhadap sasaran dan serangan mereka daripada APT lain yang diketahui. Kumpulan ini sangat bergantung pada kejuruteraan sosial dan terutamanya menyasarkan komputer Mac. Inilah yang menjadikan mereka seperti enigma dalam dunia penggodaman. Penyelidik keselamatan masih cuba menyusun prosedur operasi dan motivasi mereka. Namun, kumpulan itu pasti membuktikan bahawa Mac anda tidak kebal terhadap virus seperti yang anda fikirkan.