Windshift APT'si

Mac bilgisayarların virüs kapmadığına dair efsane tam da şudur: bir efsane. Gerçek şu ki, Mac virüsleri daha az yaygındır. Hâlâ varlar, ancak bilgisayar korsanlığı grupları, onları oluşturmayı bir öncelik haline getirmiyor. Yine de arada sırada WindShift gibi bir grup ortaya çıkıyor.

WindShift, APT (Gelişmiş Kalıcı Tehdit) olarak kabul edilir. Bunlar, güvenlik araştırmacılarının bildiği ve takip ettiği gruplardır. Bir APT'nin altyapısı, araçları ve hedefleri çok yakından incelendiklerinden genellikle iyi bilinir. Bazı gruplar daha gizlidir ve izlenmeden sessizce çalışabilir. Bu gruplara göz kulak olmak daha zor. WindShift bu gruplardan biri ve araştırmacılara göre en erken 2017'den beri faaliyet gösteriyor.

WindShift APT, öncelikle keşif operasyonlarına odaklanır. Grup, hükümetler ve kuruluşlar gibi büyük hedeflerle uğraştı, ancak aynı zamanda önceden seçilen belirli hedeflerin peşinden gidiyor gibi görünüyor. Hedefleriyle ilgili ilginç olan şey, tamamen ilgisiz görünmeleridir. Siber güvenlik araştırmacıları, hedefler arasında henüz tek bir bağlantı bağlantısı bulamadılar. WindShift ayrıca diğer gruplardan farklı bir yaklaşım benimsiyor. Grup, diğer grupların yaptığı gibi, peşinde oldukları bilgileri almak için kötü amaçlı yazılımlara ve fidye yazılımlarına çok fazla güvenmiyor. Bunun yerine, bu APT, hedeflerden kurnazca veri elde etmek için karmaşık sosyal mühendislik kullanır. Çoğu hedef, çok geç olana kadar bir şeylerin yanlış olduğunu bile fark etmez.

Gizliliğe olan bu güven sayesinde grup, yakalanmadan uzun süre operasyonlar gerçekleştirebilir. WindShift kampanyalarının aylarca sürdüğü bilinmektedir. Uzmanlar, WindShift'in vurduğu hedeflerden bazılarının, grup herhangi bir gerçek bilgisayar korsanlığı operasyonlarına başlamadan aylar önce gözlemlendiğini öne sürüyorlar. WindShift bunu sahte sosyal medya hesapları kullanarak, hedeflerle ilişkilendirilebilir konular hakkında tartışmalar yaparak ve sahte yayınlar aracılığıyla ilgi çekici içerik oluşturarak yapar. Güven kazanmak ve gerçek saldırı aşamasını kolaylaştırmak için hedefleriyle bağlantı kurarlar.

Grup ayrıca, tarama alışkanlıkları ve ilgi alanları da dahil olmak üzere bireyleri incelemek ve gözlemlemek için bir dizi analitik araç kullanır. Bu bilgileri sosyal mühendislik kampanyalarını ilerletmek ve daha da fazla bilgi edinmek için kullanabilirler. WindShift, hem halka açık araçları hem de kendi yaptıkları yardımcı programları kullandı. Grubun, hedeflerinin beğendiği şeyler hakkında bilgi toplamasının bir yolu, onlara meşru web sayfalarına bağlantılar göndermektir.

Bilgisayar korsanları, çalışmak için yeterli bilgiye sahip olduklarında bir hedeften oturum açma kimlik bilgilerini almaya çalışacaklardır. Grup, hedeflerinden kimlik bilgilerini almak için diğerlerinin yanı sıra Apple iCloud ve Gmail'i kullandı. Grup, hedefine parolalarını sıfırlamaları gerektiğini bildiren bir mesaj gönderir. Hedef, meşru görünen ancak bilgi çalmak için tasarlanmış sahte bir kurtarma sayfası olan bir sayfaya gönderilir. Hedef bu oyuna gelmezse, WindShift istedikleri bilgiyi elde etmek için bilgisayar korsanlığı araçlarına geçer.

Herkese açık araçları kullanmanın dışında Windshift, aşağıdakiler gibi birkaç özel bilgisayar korsanlığı aracı ve tehdidi oluşturmuştur:

• WindDrop – Windows sistemleri için tasarlanmış ve ilk olarak 2018'de keşfedilen bir Truva atı indiricisi.
• WindTail – Belirli dosya türlerini veya kriterlerine uyan belirli adlara sahip dosyaları toplayan, OSX sistemleri için tasarlanmış bir kötü amaçlı yazılım. Ayrıca, güvenliği ihlal edilen sisteme ek kötü amaçlı yazılım yerleştirme yeteneğine de sahiptir.
• WindTape – OSX sistemleri için tasarlanmış ve ekran görüntüsü alabilen bir arka kapı Truva Atı.

Bu araçlar, DNS ayarlarını değiştirebilme ve kullanıcıları farklı web sayfalarına gönderebilme gibi bazı gelişmiş yeteneklere sahiptir. WindShift, güvenliği ihlal edilmiş sistemlerin internet bağlantılarını kontrol edebilir ve bunun yerine bunları başka web sitelerine gönderebilir. Bu web siteleri tıpkı gerçek gibi görünecek şekilde tasarlanmıştır ve hedeflerden oturum açma kimlik bilgilerini ve ek bilgileri almak için kullanılır.

WindShift APT, şüphesiz etraftaki en sıra dışı bilgisayar korsanlığı gruplarından biridir. Grubun hedeflerine ve saldırılarına diğer bilinen APT'lerden farklı bir yaklaşımı var. Grup, büyük ölçüde sosyal mühendisliğe dayanıyor ve öncelikle Mac bilgisayarları hedefliyor. Onları bilgisayar korsanlığı dünyasında böylesine bir muamma yapan da budur. Güvenlik araştırmacıları hala operasyonel prosedürlerini ve motivasyonlarını çözmeye çalışıyorlar. Yine de grup, Mac'inizin virüslere sandığınız kadar bağışık olmadığını kesinlikle kanıtlıyor.