WindShift APT

Mit, że komputery Mac nie otrzymują wirusów, jest po prostu mitem. W rzeczywistości wirusy Mac są po prostu mniej powszechne. Nadal istnieją, ale grupy hakerskie nie stawiają ich na pierwszym miejscu. Jednak co jakiś czas pojawia się grupa taka jak WindShift.

WindShift jest uważany za APT (zaawansowane trwałe zagrożenie). Są to grupy, których znają i śledzą badacze bezpieczeństwa. Infrastruktura, narzędzia i cele APT są ogólnie dobrze znane, ponieważ są bardzo dokładnie analizowane. Niektóre grupy są bardziej ukryte i mogą działać cicho bez śledzenia. Trudniej jest mieć oko na te grupy. WindShift jest jedną z tych grup i według naukowców działa najwcześniej od 2017 roku.

WindShift APT skupia się przede wszystkim na operacjach rozpoznawczych. Grupa zaangażowała się w duże cele, takie jak rządy i organizacje, ale wydaje się również, że podąża za określonymi celami wybranymi z wyprzedzeniem. Ciekawą rzeczą w ich celach jest to, że wydają się zupełnie niezwiązane. Badacze cyberbezpieczeństwa nie znaleźli jeszcze jednego ogniwa łączącego cele. WindShift również przyjmuje inne podejście niż inne grupy. Grupa nie polega tak bardzo na złośliwym oprogramowaniu i oprogramowaniu ransomware, aby uzyskać poszukiwane informacje, jak robią to inne grupy. Zamiast tego ten APT wykorzystuje zaawansowaną socjotechnikę do subtelnego uzyskiwania danych z obiektów docelowych. Większość celów nawet nie zdaje sobie sprawy, że coś jest nie tak, dopóki nie jest za późno.

To właśnie dzięki temu poleganiu na ukryciu grupa może prowadzić operacje przez dłuższy czas, nie dając się złapać. Kampanie WindShift są znane z tego, że trwają kilka miesięcy. Eksperci sugerują, że niektóre z celów, które uderzył WindShift, były obserwowane przez kilka miesięcy przed rozpoczęciem przez grupę jakichkolwiek rzeczywistych operacji hakerskich. WindShift robi to poprzez używanie fałszywych kont w mediach społecznościowych, prowadzenie dyskusji z celami na powiązane tematy i tworzenie angażujących treści poprzez fałszywe publikacje. Łączą się ze swoimi celami, aby zdobyć zaufanie i ułatwić faktyczną fazę ataku.

Grupa wykorzystuje również szereg narzędzi analitycznych do badania i obserwowania osób, w tym ich nawyków przeglądania i zainteresowań. Mogą wykorzystać te informacje do dalszego prowadzenia kampanii socjotechnicznych i zdobycia jeszcze większej wiedzy. WindShift korzysta zarówno z publicznie dostępnych narzędzi, jak i narzędzi, które sami stworzyli. Jednym ze sposobów gromadzenia przez grupę informacji o tym, co lubią jej cele, jest wysyłanie im linków do legalnych stron internetowych.

Hakerzy będą próbowali uzyskać dane logowania od celu, gdy będą mieli wystarczającą ilość informacji do pracy. Grupa korzystała między innymi z Apple iCloud i Gmaila, aby uzyskać dane uwierzytelniające od swoich celów. Grupa wysyła swojemu celowi wiadomość ostrzegającą ich, że muszą zresetować swoje hasło. Cel jest wysyłany na stronę, która wygląda na wiarygodną, ale jest sfałszowaną stroną odzyskiwania, której celem jest kradzież informacji. Jeśli cel nie daje się nabrać na sztuczkę, WindShift przechodzi do narzędzi hakerskich, aby uzyskać potrzebne informacje.

Poza korzystaniem z publicznie dostępnych narzędzi Windshift stworzył kilka niestandardowych narzędzi i zagrożeń hakerskich, takich jak:

• WindDrop — trojan downloader przeznaczony dla systemów Windows, który po raz pierwszy został zauważony w 2018 roku.
• WindTail — złośliwe oprogramowanie zaprojektowane dla systemów OSX, które gromadzi określone typy plików lub pliki o określonych nazwach, które odpowiadają jego kryteriom. Jest również w stanie umieszczać dodatkowe złośliwe oprogramowanie w zaatakowanym systemie.
• WindTape – trojan typu backdoor zaprojektowany dla systemów OSX, który potrafi wykonywać zrzuty ekranu.

Narzędzia te mają pewne zaawansowane możliwości, takie jak manipulowanie ustawieniami DNS i wysyłanie użytkowników na różne strony internetowe. WindShift może kontrolować połączenia internetowe zhakowanych systemów i zamiast tego wysyłać je do innych stron internetowych. Te witryny są zaprojektowane tak, aby wyglądały jak prawdziwe i służą do uzyskiwania danych logowania i dodatkowych informacji od celów.

WindShift APT to bez wątpienia jedna z bardziej niezwykłych grup hakerskich. Grupa ma inne podejście do swoich celów i ataków niż inne znane APT. Grupa w dużej mierze opiera się na socjotechnikach i jest skierowana głównie do komputerów Mac. To sprawia, że są taką zagadką w świecie hakerskim. Badacze bezpieczeństwa wciąż próbują wypracować swoje procedury operacyjne i motywacje. Mimo to grupa zdecydowanie udowadnia, że Twój Mac nie jest tak odporny na wirusy, jak myślisz.