Biztonsági szakértők folyamatosan nyomon követik a Winnti kiberbűnözői csoport tevékenységét, és felfedeztek egy aktív fenyegetést, amely egy 2006-os bootkit installeren alapszik. A fenyegetés, amelyet a Kaspersky Lab “HDRoot”-nak nevezett el az eszköz eredeti “HDD Rootkit” neve után, egy univerzális platform fenntartható és állandó jelenléttel a megcélzott rendszerben, amely lehetővé teszi további programkártevők futtatását.
A Winnti bűnszervezet ipari kiberkémkedési kampányairól ismert, amelyekkel szoftverfejlesztő cégeket céloz meg, főként a szerencsejáték-iparágban. Nemrégiben azonban a gyógyszerészeti vállalkozások is célponttá váltak. A HDRootot akkor azonosították, amikor egy érdekes vírusminta felkeltette a biztonsági szakemberek figyelmét az alábbi okok miatt:
– Védve volt egy kereskedelmi VMProtect Win64 végrehajtható fájllal, amelyet egy, a Guangthou YuanLuo Technology kínai szervezethez tartozó, feltört tanúsítvánnyal írtak alá. Ez egy olyan tanúsítvány amellyel a Winnti csoport visszaélt, és más eszközöket is aláírt.
– A végrehajtható fájl jellemzőit és a kimeneti szövegét átalakították, hogy úgy nézzen ki, mint egy Microsoft Net Command net.exe fájl, nyilvánvalóan azért, hogy a rendszergazdák ne azonosítsák azt kártékony programként.
A további elemzés kimutatta, hogy a HDRoot bootkit egy univerzális platform a folyamatos és fenntartható jelenléthez a rendszerben. Fel lehet használni bármely más szoftvereszköz elindítására. A cég kutatói azonosítottak kétféle hátsó ajtót, amelyeket e platform segítségével indítottak el, és lehet, hogy több is van belőlük. Az egyik ilyen hátsó ajtó képes volt megkerülni a jól bevált antivirustermékeket Dél-Koreában: az AhnLab V3 Lite-ját, az AhnLab V3 365 Clinik-jét és az ESTsoft ALYac-ját. A Winnti ezt arra használta, hogy rosszindulatú programokat indítson el dél-koreai számítógépeken.
A Winnti csoport fő érdeklődési területe Délkelet-Ázsiában Dél-Koreai, de ezenkívül japán, kínai, bangladesi és indonéziai szervezetek is célkeresztbe kerültek. A Kaspersky Lab ugyancsak kimutatott HDRoot-fertőzéseket egy angliai és egy orosz cégnél, amelyek már korábban a Winnti csoport célpontjává váltak. A HDD Rootkit fejlesztése valószínűleg egy olyan emberhez köthető, aki akkor csatlakozott a Winnti csoporthoz, amikor az létrejött. Feltételezések szerint a Winnti csoport 2009-ben alakult, tehát 2006-ban még nem létezett. Azonban fennáll a lehetőség, hogy a Winnti más fejlesztőtől származó szoftvereket használt. Lehetséges, hogy ez a segédprogram és forráskód elérhető a kínai és más kiberbűnözői feketepiacokon – a fenyegetés még mindig aktív. Miután azonosították a malware-eket, a támadások mögött álló csoport kevesebb mint egy hónap alatt egy új változatot hozott létre.
