WindShift APT

Myten att Mac-datorer inte får virus är just det: en myt. Verkligheten är att Mac-virus bara är mindre vanliga. De finns fortfarande, men hackinggrupper gör inte att skapa dem till en prioritet. Men då och då kommer en grupp som WindShift.

WindShift är vad som anses vara en APT (Advanced Persistent Threat). Det är grupper som säkerhetsforskare är medvetna om och spårar. Infrastrukturen, verktygen och målen för en APT är allmänt välkända eftersom de granskas så noga. Vissa grupper är mer smygande och kan arbeta tyst utan att bli spårade. Det är svårare att hålla ett öga på de grupperna. WindShift är en av dessa grupper och har enligt forskare varit i drift tidigast sedan 2017.

WindShift APT fokuserar främst på spaningsoperationer. Gruppen har engagerat sig med stora mål som regeringar och organisationer men verkar också gå efter specifika mål som valts i förväg. Det intressanta med deras mål är att de verkar helt orelaterade. Cybersäkerhetsforskare har ännu inte hittat en enda länk mellan målen. WindShift har också ett annat tillvägagångssätt än andra grupper. Gruppen är inte lika starkt beroende av skadlig programvara och ransomware för att få den information de är ute efter som andra grupper gör. Istället använder denna APT sofistikerad social ingenjörskonst för att subtilt få data från mål. De flesta mål inser inte ens att något är fel förrän det är för sent.

Det är tack vare detta beroende av smyg som gruppen kan utföra operationer under längre perioder utan att bli gripen. WindShift-kampanjer har varit kända för att vara månader åt gången. Experter föreslår att några av målen som WindShift träffade observerades i flera månader innan gruppen påbörjade några faktiska hackningsoperationer. WindShift gör detta genom att använda falska sociala mediekonton, hålla diskussioner med mål om relaterade ämnen och skapa engagerande innehåll genom falska publikationer. De ansluter till sina mål för att vinna förtroende och göra själva attackfasen enklare.

Gruppen använder också en rad analytiska verktyg för att studera och observera individer, inklusive deras surfvanor och intressen. De kan använda denna information för att främja sina sociala ingenjörskampanjer och få ännu mer kunskap. WindShift har använt både allmänt tillgängliga verktyg och verktyg som de har gjort själva. Ett sätt som gruppen samlar in information om de saker som deras mål gillar är att skicka dem länkar till legitima webbsidor.

Hackarna kommer att försöka få inloggningsuppgifter från ett mål när de har tillräckligt med information att arbeta med. Gruppen har använt Apple iCloud och Gmail, bland annat, för att få referenser från sina mål. Gruppen skickar ett meddelande till sina mål som varnar dem om att de måste återställa sitt lösenord. Målet skickas till en sida som verkar legitim men är en falsk återställningssida utformad för att stjäla information. Om målet inte faller för tricket går WindShift vidare till hackverktyg för att få den information de vill ha.

Utöver att använda allmänt tillgängliga verktyg har Windshift skapat flera anpassade hackverktyg och hot, till exempel följande:

• WindDrop – En trojaner som är designad för Windows-system, som upptäcktes första gången 2018.
• WindTail – En malware designad för OSX-system, som samlar in specifika filtyper eller filer som har vissa namn som passar dess kriterier. Det är också kapabelt att plantera ytterligare skadlig programvara på det komprometterade systemet.
• WindTape – En bakdörrstrojan designad för OSX-system som kan ta skärmdumpar.

Dessa verktyg har en del avancerade funktioner, som att kunna manipulera DNS-inställningar och skicka användare till olika webbsidor. WindShift kan styra internetanslutningarna för komprometterade system och skicka dem till andra webbplatser istället. Dessa webbplatser är designade för att se ut precis som den äkta varan och används för att få inloggningsuppgifter och ytterligare information från mål.

WindShift APT är utan tvekan en av de mer ovanliga hackningsgrupperna som finns. Gruppen har en annan inställning till sina mål och attacker än andra kända APT. Gruppen förlitar sig mycket på social ingenjörskonst och riktar sig främst till Mac-datorer. Det är detta som gör dem till en sådan gåta i hackarvärlden. Säkerhetsforskare försöker fortfarande utarbeta sina operativa rutiner och motiveringar. Ändå bevisar gruppen definitivt att din Mac inte är så immun mot virus som du tror att den är.