WindShift APT

De mythe dat Mac-computers geen virussen krijgen, is precies dat: een mythe. De realiteit is dat Mac-virussen gewoon minder vaak voorkomen. Ze bestaan nog steeds, maar hackinggroepen maken er geen prioriteit van. Af en toe komt er echter een groep als WindShift langs.

WindShift is wat wordt beschouwd als een APT (Advanced Persistent Threat). Dit zijn groepen die beveiligingsonderzoekers kennen en volgen. De infrastructuur, tools en doelen van een APT zijn algemeen bekend omdat ze zo nauwkeurig worden onderzocht. Sommige groepen zijn meer onopvallend en kunnen stil werken zonder te worden gevolgd. Het is moeilijker om die groepen in de gaten te houden. WindShift is een van die groepen en is volgens onderzoekers op zijn vroegst sinds 2017 operationeel.

De WindShift APT richt zich voornamelijk op verkenningsoperaties. De groep heeft zich beziggehouden met grote doelen zoals overheden en organisaties, maar lijkt ook achter specifieke doelen aan te gaan die van tevoren zijn gekozen. Het interessante van hun doelwitten is dat ze totaal niets met elkaar te maken hebben. Cybersecurity-onderzoekers hebben nog geen enkele verbindende schakel tussen de doelen gevonden. WindShift pakt het ook anders aan dan andere groepen. De groep is niet zo sterk afhankelijk van malware en ransomware om de informatie te krijgen waarnaar ze op zoek zijn, zoals andere groepen doen. In plaats daarvan gebruikt deze APT geavanceerde social engineering om op subtiele wijze gegevens van doelen te verkrijgen. De meeste doelwitten realiseren zich niet eens dat er iets mis is totdat het te laat is.

Het is dankzij deze afhankelijkheid van stealth dat de groep operaties voor langere tijd kan uitvoeren zonder gepakt te worden. Het is bekend dat WindShift-campagnes maanden achtereen duren. Experts suggereren dat sommige van de doelen die WindShift trof, maandenlang werden waargenomen voordat de groep met daadwerkelijke hackoperaties begon. WindShift doet dit door het gebruik van nep-accounts op sociale media, het voeren van discussies met doelwitten over herkenbare onderwerpen en het creëren van boeiende inhoud door middel van neppublicaties. Ze verbinden zich met hun doelwitten om vertrouwen te winnen en de daadwerkelijke aanvalsfase gemakkelijker te maken.

De groep gebruikt ook een reeks analytische tools om individuen te bestuderen en te observeren, inclusief hun surfgedrag en interesses. Ze kunnen deze informatie gebruiken om hun social engineering-campagnes te bevorderen en nog meer kennis op te doen. WindShift heeft zowel publiek beschikbare tools als hulpprogramma's gebruikt die ze zelf hebben gemaakt. Een manier waarop de groep informatie verzamelt over de dingen die hun doelwitten leuk vinden, is door ze links naar legitieme webpagina's te sturen.

De hackers zullen proberen inloggegevens van een doelwit te krijgen zodra ze voldoende informatie hebben om mee te werken. De groep heeft onder meer Apple iCloud en Gmail gebruikt om inloggegevens van hun doelwitten te verkrijgen. De groep stuurt hun doelwit een bericht waarin ze worden gewaarschuwd dat ze hun wachtwoord opnieuw moeten instellen. Het doelwit wordt naar een pagina gestuurd die legitiem lijkt, maar een vervalste herstelpagina is die is ontworpen om informatie te stelen. Als het doelwit niet voor de truc valt, gaat WindShift verder met het hacken van tools om de informatie te krijgen die ze willen.

Naast het gebruik van openbaar beschikbare tools, heeft Windshift verschillende aangepaste hacktools en bedreigingen gemaakt, zoals de volgende:

• WindDrop - Een trojan-downloader ontworpen voor Windows-systemen, die voor het eerst werd opgemerkt in 2018.
• WindTail – Een malware die is ontworpen voor OSX-systemen en die specifieke bestandstypen of bestanden verzamelt met bepaalde namen die aan de criteria voldoen. Het is ook in staat om extra malware op het besmette systeem te plaatsen.
• WindTape - Een backdoor-trojan die is ontworpen voor OSX-systemen en die schermafbeeldingen kan maken.

Deze tools hebben een aantal geavanceerde mogelijkheden, zoals het kunnen manipuleren van DNS-instellingen en het sturen van gebruikers naar verschillende webpagina's. WindShift kan de internetverbindingen van gecompromitteerde systemen controleren en in plaats daarvan naar andere websites sturen. Deze websites zijn ontworpen om er net zo uit te zien als in het echt en worden gebruikt om inloggegevens en aanvullende informatie van doelen te verkrijgen.

WindShift APT is ongetwijfeld een van de meer ongebruikelijke hackgroepen die er zijn. De groep heeft een andere benadering van hun doelen en aanvallen dan andere bekende APT's. De groep leunt zwaar op social engineering en richt zich voornamelijk op Mac-computers. Dit is wat ze zo'n enigma maakt in de hackwereld. Beveiligingsonderzoekers zijn nog bezig met het uitwerken van hun operationele procedures en drijfveren. Toch bewijst de groep absoluut dat je Mac niet zo immuun is voor virussen als je denkt.