WindShift APT

ความเชื่อผิดๆ ที่คอมพิวเตอร์ Mac ไม่ติดไวรัสนั้นเป็นเพียงตำนาน ความจริงก็คือไวรัส Mac นั้นพบได้น้อยกว่าทั่วไป พวกเขายังคงมีอยู่ แต่กลุ่มแฮ็คไม่ได้ให้ความสำคัญกับการสร้างพวกเขา บ่อยครั้งแม้ว่ากลุ่มเช่น WindShift จะมาพร้อม

WindShift คือสิ่งที่ถือว่าเป็น APT (ภัยคุกคามถาวรขั้นสูง) กลุ่มเหล่านี้คือกลุ่มที่นักวิจัยด้านความปลอดภัยรับทราบและติดตาม โครงสร้างพื้นฐาน เครื่องมือ และเป้าหมายของ APT มักเป็นที่รู้จักดีเนื่องจากมีการพิจารณาอย่างใกล้ชิด บางกลุ่มมีความลอบเร้นมากกว่าและสามารถทำงานอย่างเงียบ ๆ โดยไม่ถูกติดตาม การจับตาดูกลุ่มเหล่านั้นยากกว่า WindShift เป็นหนึ่งในกลุ่มเหล่านี้และตามที่นักวิจัยได้ดำเนินการมาตั้งแต่ปี 2560 อย่างเร็วที่สุด

WindShift APT มุ่งเน้นไปที่การลาดตระเวนเป็นหลัก กลุ่มนี้มีส่วนร่วมกับเป้าหมายใหญ่ๆ เช่น รัฐบาลและองค์กรต่างๆ แต่ดูเหมือนว่าจะดำเนินการตามเป้าหมายเฉพาะที่เลือกไว้ล่วงหน้าด้วย สิ่งที่น่าสนใจเกี่ยวกับเป้าหมายคือพวกเขาดูเหมือนไม่เกี่ยวข้องกันโดยสิ้นเชิง นักวิจัยด้านความปลอดภัยทางไซเบอร์ยังไม่พบจุดเชื่อมโยงระหว่างเป้าหมาย WindShift ยังใช้แนวทางที่แตกต่างจากกลุ่มอื่นๆ กลุ่มนี้ไม่ได้พึ่งพามัลแวร์และแรนซัมแวร์มากนักในการรับข้อมูลที่พวกเขาต้องการเหมือนที่กลุ่มอื่นๆ ทำ แต่ APT นี้ใช้วิศวกรรมสังคมที่ซับซ้อนเพื่อรับข้อมูลจากเป้าหมายอย่างละเอียด เป้าหมายส่วนใหญ่ไม่รู้ด้วยซ้ำว่ามีอะไรผิดปกติจนกว่าจะสายเกินไป

ต้องขอบคุณการพึ่งพาการลักลอบนี้ที่ทำให้กลุ่มสามารถดำเนินการได้เป็นเวลานานโดยไม่ถูกจับ แคมเปญ WindShift เป็นที่ทราบกันดีอยู่แล้วเมื่อหลายเดือนก่อนในแต่ละครั้ง ผู้เชี่ยวชาญแนะนำว่าเป้าหมายบางอย่างของ WindShift ถูกตรวจพบเป็นเวลาหลายเดือนก่อนที่กลุ่มจะเริ่มดำเนินการแฮ็คจริง ๆ WindShift ทำสิ่งนี้ผ่านการใช้บัญชีโซเชียลมีเดียปลอม จัดการสนทนากับเป้าหมายเกี่ยวกับหัวข้อที่เกี่ยวข้อง และสร้างเนื้อหาที่น่าดึงดูดผ่านสิ่งตีพิมพ์ปลอม พวกเขาเชื่อมต่อกับเป้าหมายเพื่อรับความไว้วางใจและทำให้ขั้นตอนการโจมตีจริงง่ายขึ้น

กลุ่มยังใช้เครื่องมือวิเคราะห์ต่างๆ เพื่อศึกษาและสังเกตบุคคล รวมถึงพฤติกรรมการท่องเว็บและความสนใจของพวกเขา พวกเขาสามารถใช้ข้อมูลนี้เพื่อส่งเสริมแคมเปญวิศวกรรมสังคมและได้รับความรู้เพิ่มเติม WindShift ได้ใช้ทั้งเครื่องมือและยูทิลิตี้ที่เปิดเผยต่อสาธารณะซึ่งพวกเขาสร้างขึ้นเอง วิธีหนึ่งที่กลุ่มรวบรวมข้อมูลเกี่ยวกับสิ่งที่เป้าหมายต้องการคือส่งลิงก์ไปยังหน้าเว็บที่ถูกต้อง

แฮกเกอร์จะพยายามรับข้อมูลรับรองการเข้าสู่ระบบจากเป้าหมายเมื่อมีข้อมูลเพียงพอที่จะใช้งานได้ กลุ่มนี้ใช้ Apple iCloud และ Gmail เพื่อรับข้อมูลประจำตัวจากเป้าหมาย กลุ่มจะส่งข้อความเตือนเป้าหมายว่าจำเป็นต้องรีเซ็ตรหัสผ่าน เป้าหมายจะถูกส่งไปยังหน้าที่ดูเหมือนถูกต้องแต่เป็นหน้ากู้คืนปลอมที่ออกแบบมาเพื่อขโมยข้อมูล หากเป้าหมายไม่หลงกล WindShift จะเปลี่ยนไปใช้เครื่องมือแฮ็กเพื่อรับข้อมูลที่ต้องการ

นอกเหนือจากการใช้เครื่องมือที่เปิดเผยต่อสาธารณะแล้ว Windshift ได้สร้างเครื่องมือและภัยคุกคามสำหรับการแฮ็กแบบกำหนดเองหลายอย่าง เช่น:

• WindDrop – โปรแกรมดาวน์โหลดโทรจันที่ออกแบบมาสำหรับระบบ Windows ซึ่งพบครั้งแรกในปี 2018
• WindTail – มัลแวร์ที่ออกแบบมาสำหรับระบบ OSX ซึ่งรวบรวมประเภทไฟล์หรือไฟล์เฉพาะที่มีชื่อบางชื่อที่ตรงกับเกณฑ์ นอกจากนี้ยังสามารถปลูกมัลแวร์เพิ่มเติมบนระบบที่ถูกบุกรุก
• WindTape – โทรจันลับๆ ที่ออกแบบมาสำหรับระบบ OSX ที่สามารถจับภาพหน้าจอได้

เครื่องมือเหล่านี้มีความสามารถขั้นสูงบางอย่าง เช่น สามารถจัดการการตั้งค่า DNS และส่งผู้ใช้ไปยังหน้าเว็บต่างๆ WindShift สามารถควบคุมการเชื่อมต่ออินเทอร์เน็ตของระบบที่ถูกบุกรุก และส่งไปยังเว็บไซต์อื่นแทน เว็บไซต์เหล่านี้ได้รับการออกแบบมาให้ดูเหมือนของจริงและใช้เพื่อรับข้อมูลรับรองการเข้าสู่ระบบและข้อมูลเพิ่มเติมจากเป้าหมาย

WindShift APT เป็นหนึ่งในกลุ่มแฮ็คที่ผิดปกติอย่างไม่ต้องสงสัย กลุ่มนี้มีแนวทางในการกำหนดเป้าหมายและการโจมตีที่แตกต่างจาก APT อื่นๆ ที่รู้จัก กลุ่มนี้อาศัยวิศวกรรมสังคมเป็นหลักและมุ่งเป้าไปที่คอมพิวเตอร์ Mac เป็นหลัก นี่คือสิ่งที่ทำให้พวกเขากลายเป็นปริศนาในโลกของการแฮ็ก นักวิจัยด้านความปลอดภัยยังคงพยายามหาขั้นตอนการปฏิบัติงานและแรงจูงใจ อย่างไรก็ตาม ทางกลุ่มได้พิสูจน์ให้เห็นแล้วว่า Mac ของคุณไม่มีภูมิต้านทานต่อไวรัสอย่างที่คุณคิด