WindShift APT

Myten om at Mac-datamaskiner ikke får virus er nettopp det: en myte. Realiteten er at Mac-virus bare er mindre vanlige. De eksisterer fortsatt, men hackinggrupper prioriterer ikke å opprette dem. Men av og til kommer en gruppe som WindShift.

WindShift er det som anses som en APT (Advanced Persistent Threat). Dette er grupper som sikkerhetsforskere er klar over og sporer. Infrastrukturen, verktøyene og målene til en APT er generelt godt kjent fordi de blir gransket så nøye. Noen grupper er mer snikende og i stand til å operere stille uten å bli sporet. Det er vanskeligere å holde øye med disse gruppene. WindShift er en av disse gruppene og har ifølge forskere vært i drift siden 2017 på det aller tidligste.

WindShift APT fokuserer først og fremst på rekognoseringsoperasjoner. Gruppen har engasjert seg med store mål som regjeringer og organisasjoner, men ser også ut til å gå etter spesifikke mål som er valgt på forhånd. Det interessante med målene deres er at de virker fullstendig urelaterte. Cybersikkerhetsforskere har ennå ikke funnet en eneste forbindelse mellom målene. WindShift har også en annen tilnærming enn andre grupper. Gruppen er ikke så avhengig av skadelig programvare og løsepengeprogramvare for å få informasjonen de er ute etter, som andre grupper gjør. I stedet bruker denne APT sofistikert sosial ingeniørkunst for å innhente data fra mål subtilt. De fleste mål innser ikke engang at noe er galt før det er for sent.

Det er takket være denne avhengigheten av stealth at gruppen kan utføre operasjoner i lengre perioder uten å bli tatt. WindShift-kampanjer har vært kjent for å vare måneder om gangen. Eksperter antyder at noen av målene WindShift traff ble observert i flere måneder før gruppen startet noen faktiske hackingoperasjoner. WindShift gjør dette ved å bruke falske sosiale medier-kontoer, holde diskusjoner med mål om relaterte emner og skape engasjerende innhold gjennom falske publikasjoner. De kobler seg til målene sine for å tjene tillit og gjøre selve angrepsfasen enklere.

Gruppen bruker også en rekke analytiske verktøy for å studere og observere enkeltpersoner, inkludert deres surfevaner og -interesser. De kan bruke denne informasjonen til å fremme sine sosiale ingeniørkampanjer og få enda mer kunnskap. WindShift har brukt både offentlig tilgjengelige verktøy og verktøy som de har laget selv. En måte gruppen samler informasjon om tingene deres mål liker, er å sende dem lenker til legitime nettsider.

Hackerne vil forsøke å få påloggingsinformasjon fra et mål når de har nok informasjon å jobbe med. Gruppen har brukt Apple iCloud og Gmail, blant annet, for å få legitimasjon fra sine mål. Gruppen sender målet deres en melding som varsler dem om at de må tilbakestille passordet. Målet sendes til en side som virker legitim, men som er en forfalsket gjenopprettingsside designet for å stjele informasjon. Hvis målet ikke faller for trikset, går WindShift videre til hackingverktøy for å få informasjonen de ønsker.

Utenom å bruke offentlig tilgjengelige verktøy, har Windshift laget flere tilpassede hackingverktøy og trusler, for eksempel følgende:

• WindDrop - En trojansk nedlaster designet for Windows-systemer, som først ble oppdaget i 2018.
• WindTail – En skadelig programvare designet for OSX-systemer, som samler inn spesifikke filtyper eller filer som har bestemte navn som passer til kriteriene. Den er også i stand til å plante ytterligere skadelig programvare på det kompromitterte systemet.
• WindTape – En bakdørstrojaner designet for OSX-systemer som er i stand til å ta skjermbilder.

Disse verktøyene har noen avanserte funksjoner, for eksempel å kunne manipulere DNS-innstillinger og sende brukere til forskjellige nettsider. WindShift kan kontrollere internettforbindelsene til kompromitterte systemer og sende dem til andre nettsteder i stedet. Disse nettstedene er designet for å se ut akkurat som ekte vare og brukes til å få påloggingsinformasjon og tilleggsinformasjon fra mål.

WindShift APT er utvilsomt en av de mer uvanlige hackinggruppene som finnes. Gruppen har en annen tilnærming til sine mål og angrep enn andre kjente APT-er. Gruppen er avhengig av sosial ingeniørkunst og retter seg først og fremst mot Mac-datamaskiner. Det er dette som gjør dem til en gåte i hackingverdenen. Sikkerhetsforskere prøver fortsatt å finne frem til sine operasjonelle prosedyrer og motivasjoner. Likevel beviser gruppen definitivt at Mac-en din ikke er så immun mot virus som du tror den er.