WindShift APT

Miti që kompjuterët Mac nuk marrin viruse është vetëm ai: një mit. Realiteti është se viruset Mac janë më pak të zakonshëm. Ato ekzistojnë ende, por grupet e hakerëve nuk e bëjnë prioritet krijimin e tyre. Megjithatë, herë pas here, vjen një grup si WindShift.

WindShift është ajo që konsiderohet një APT (Kërcënim i Përparuar i Përhershëm). Këto janë grupe për të cilat studiuesit e sigurisë janë të vetëdijshëm dhe i gjurmojnë. Infrastruktura, mjetet dhe objektivat e një APT janë përgjithësisht të njohura, sepse ato shqyrtohen kaq nga afër. Disa grupe janë më të fshehta dhe në gjendje të veprojnë në heshtje pa u gjurmuar. Është më e vështirë të mbash një sy në ato grupe. WindShift është një nga ato grupe dhe, sipas studiuesve, ka qenë funksional që nga viti 2017 më herët.

WindShift APT fokusohet kryesisht në operacionet e zbulimit. Grupi është angazhuar me objektiva të mëdhenj si qeveritë dhe organizatat, por gjithashtu duket se shkon pas objektivave specifike të zgjedhura përpara kohe. Gjëja interesante në lidhje me objektivat e tyre është se ata duken krejtësisht të palidhur. Studiuesit e sigurisë kibernetike nuk kanë gjetur ende një lidhje të vetme lidhëse midis objektivave. WindShift gjithashtu ka një qasje të ndryshme nga grupet e tjera. Grupi nuk mbështetet aq shumë në malware dhe ransomware për të marrë informacionin që kërkon siç bëjnë grupet e tjera. Në vend të kësaj, ky APT përdor inxhinieri sociale të sofistikuar për të marrë të dhëna nga objektivat në mënyrë delikate. Shumica e objektivave as nuk e kuptojnë se asgjë nuk është në rregull derisa të jetë tepër vonë.

Është falë kësaj mbështetjeje në vjedhje që grupi mund të kryejë operacione për periudha të gjata kohore pa u kapur. Fushatat WindShift kanë qenë të njohura që muajt e fundit në një kohë. Ekspertët sugjerojnë se disa nga objektivat që goditi WindShift u vëzhguan për muaj të tërë përpara se grupi të fillonte ndonjë operacion hakerimi. WindShift e bën këtë përmes përdorimit të llogarive të rreme të mediave sociale, mbajtjes së diskutimeve me objektivat për tema të ngjashme dhe krijimit të përmbajtjes tërheqëse përmes publikimeve të rreme. Ata lidhen me objektivat e tyre për të fituar besim dhe për ta bërë më të lehtë fazën aktuale të sulmit.

Grupi përdor gjithashtu një sërë mjetesh analitike për të studiuar dhe vëzhguar individët, duke përfshirë zakonet dhe interesat e tyre të shfletimit. Ata mund ta përdorin këtë informacion për të çuar përpara fushatat e tyre të inxhinierisë sociale dhe për të fituar edhe më shumë njohuri. WindShift ka përdorur si mjete të disponueshme publikisht, ashtu edhe shërbime që i kanë bërë vetë. Një mënyrë që grupi mbledh informacione rreth gjërave që pëlqejnë objektivat e tyre është t'u dërgojë atyre lidhje në faqet e ligjshme të internetit.

Hakerët do të përpiqen të marrin kredencialet e hyrjes nga një objektiv pasi të kenë informacion të mjaftueshëm për të punuar. Grupi ka përdorur Apple iCloud dhe Gmail, ndër të tjera, për të marrë kredencialet nga objektivat e tyre. Grupi i dërgon objektivit të tyre një mesazh duke i paralajmëruar se duhet të rivendosin fjalëkalimin e tyre. Objektivi dërgohet në një faqe që duket e ligjshme, por është një faqe rikuperimi e falsifikuar e krijuar për të vjedhur informacion. Nëse objektivi nuk i bie mashtrimit, atëherë WindShift kalon te mjetet e hakerimit për të marrë informacionin që dëshiron.

Përveç përdorimit të mjeteve të disponueshme publikisht, Windshift ka krijuar disa mjete hakerimi dhe kërcënime me porosi, si në vijim:

• WindDrop – Një shkarkues i Trojanit i krijuar për sistemet Windows, i cili u zbulua për herë të parë në 2018.
• WindTail – Një malware i krijuar për sistemet OSX, i cili mbledh lloje specifike skedarësh ose skedarë që kanë emra të caktuar që i përshtaten kritereve të tij. Ai gjithashtu është në gjendje të vendosë malware shtesë në sistemin e komprometuar.
• WindTape – Një Trojan me dyer të pasme i krijuar për sistemet OSX që është në gjendje të marrë pamje nga ekrani.

Këto mjete kanë disa aftësi të avancuara, të tilla si aftësia për të manipuluar cilësimet e DNS dhe për të dërguar përdoruesit në faqe të ndryshme ueb. WindShift mund të kontrollojë lidhjet e internetit të sistemeve të komprometuara dhe t'i dërgojë ato në faqet e tjera të internetit. Këto faqe interneti janë krijuar për t'u dukur si ato reale dhe përdoren për të marrë kredencialet e hyrjes dhe informacione shtesë nga objektivat.

WindShift APT është padyshim një nga grupet më të pazakonta të hakerëve përreth. Grupi ka një qasje të ndryshme ndaj objektivave dhe sulmeve të tyre sesa APT-të e tjerë të njohur. Grupi mbështetet shumë në inxhinierinë sociale dhe synon kryesisht kompjuterët Mac. Kjo është ajo që i bën ata një enigmë të tillë në botën e hakerëve. Studiuesit e sigurisë janë ende duke u përpjekur të përpunojnë procedurat dhe motivimet e tyre operative. Megjithatë, grupi definitivisht vërteton se Mac-i juaj nuk është aq imun ndaj viruseve sa mendoni se është.