WindShift APT

Mitul că computerele Mac nu primesc viruși este doar acela: un mit. Realitatea este că virușii Mac sunt mai puțin obișnuiți. Ele încă există, dar grupurile de hacking nu fac din crearea lor o prioritate. Din când în când, totuși, apare un grup precum WindShift.

WindShift este ceea ce este considerat un APT (Advanced Persistent Threat). Acestea sunt grupuri de care cercetătorii de securitate le cunosc și le urmăresc. Infrastructura, instrumentele și țintele unui APT sunt în general binecunoscute, deoarece sunt analizate atât de atent. Unele grupuri sunt mai ascunse și capabile să opereze în liniște fără a fi urmărite. E mai greu să fii cu ochii pe acele grupuri. WindShift este unul dintre aceste grupuri și, potrivit cercetătorilor, este operațional din 2017 cel mai devreme.

WindShift APT se concentrează în primul rând pe operațiunile de recunoaștere. Grupul s-a angajat cu ținte mari precum guverne și organizații, dar pare să urmărească și ținte specifice alese din timp. Lucrul interesant despre țintele lor este că par complet fără legătură. Cercetătorii în domeniul securității cibernetice nu au găsit încă o singură legătură de legătură între ținte. WindShift adoptă, de asemenea, o abordare diferită față de alte grupuri. Grupul nu se bazează atât de mult pe malware și ransomware pentru a obține informațiile pe care le caută, așa cum o fac alte grupuri. În schimb, acest APT folosește inginerie socială sofisticată pentru a obține date de la ținte subtil. Majoritatea țintelor nici măcar nu își dau seama că ceva nu este în regulă până nu este prea târziu.

Datorită acestei dependențe de stealth, grupul poate efectua operațiuni pentru perioade lungi de timp fără a fi prins. Se știe că campaniile WindShift durează luni întregi. Experții sugerează că unele dintre țintele atinse de WindShift au fost observate cu luni de zile înainte ca grupul să înceapă orice operațiuni reale de hacking. WindShift face acest lucru prin utilizarea de conturi de rețele sociale false, ținând discuții cu ținte despre subiecte care pot avea legătură și creând conținut captivant prin publicații false. Ei se conectează cu țintele lor pentru a câștiga încredere și pentru a ușura faza reală de atac.

Grupul folosește, de asemenea, o serie de instrumente analitice pentru a studia și observa indivizii, inclusiv obiceiurile și interesele lor de navigare. Ei pot folosi aceste informații pentru a-și continua campaniile de inginerie socială și pentru a obține și mai multe cunoștințe. WindShift a folosit atât instrumente disponibile public, cât și utilități pe care le-au creat ei înșiși. O modalitate prin care grupul adună informații despre lucrurile pe care le plac țintele lor este să le trimită linkuri către pagini web legitime.

Hackerii vor încerca să obțină acreditări de conectare de la o țintă odată ce au suficiente informații cu care să lucreze. Grupul a folosit Apple iCloud și Gmail, printre altele, pentru a obține acreditări de la ținte. Grupul îi trimite țintei un mesaj care îi avertizează că trebuie să-și reseteze parola. Ținta este trimisă către o pagină care pare legitimă, dar este o pagină de recuperare falsificată, concepută pentru a fura informații. Dacă ținta nu se încadrează în truc, atunci WindShift trece la instrumente de hacking pentru a obține informațiile pe care le doresc.

În afara utilizării instrumentelor disponibile public, Windshift a creat mai multe instrumente personalizate de hacking și amenințări, cum ar fi următoarele:

• WindDrop – Un program de descărcare troian conceput pentru sistemele Windows, care a fost observat pentru prima dată în 2018.
• WindTail – Un malware conceput pentru sistemele OSX, care colectează anumite tipuri de fișiere sau fișiere care au anumite nume care se potrivesc criteriilor sale. De asemenea, este capabil să planteze programe malware suplimentare pe sistemul compromis.
• WindTape – Un troian backdoor conceput pentru sistemele OSX care este capabil să facă capturi de ecran.

Aceste instrumente au unele capabilități avansate, cum ar fi posibilitatea de a manipula setările DNS și de a trimite utilizatorii către diferite pagini web. WindShift poate controla conexiunile la internet ale sistemelor compromise și le poate trimite către alte site-uri web. Aceste site-uri web sunt concepute pentru a arăta exact ca cele reale și sunt folosite pentru a obține acreditări de conectare și informații suplimentare de la ținte.

WindShift APT este, fără îndoială, unul dintre cele mai neobișnuite grupuri de hacking din jur. Grupul are o abordare diferită a țintelor și atacurilor lor față de alte APT-uri cunoscute. Grupul se bazează în mare măsură pe ingineria socială și vizează în primul rând computerele Mac. Acesta este ceea ce îi face o astfel de enigmă în lumea hackingului. Cercetătorii de securitate încă încearcă să-și elaboreze procedurile și motivațiile operaționale. Totuși, grupul demonstrează cu siguranță că Mac-ul tău nu este atât de imun la viruși pe cât crezi că este.