Eksperci z Kaspersky Lab śledzący aktywność grupy Winnti odkryli aktywne zagrożenie oparte na szkodliwym kodzie z 2006 r., który zagnieżdża się w sektorze startowym dysku. To niebezpieczne narzędzie o nazwie „HDRoot” stanowi uniwersalną platformę umożliwiającą ciągłą i długotrwałą obecność w atakowanym systemie i może zostać wykorzystane do dostarczenia dowolnego szkodliwego kodu.
Organizacja przestępcza o nazwie Winnti znana jest z prowadzenia kampanii z zakresu cyberszpiegostwa przemysłowego wymierzonych w firmy z branży oprogramowania, w szczególności gier. Niedawno wykryto, że jej celem są również firmy farmaceutyczne.
"HDRoot" został wykryty, gdy zainteresowanie Globalnego Zespołu ds. Badań i Analiz z Kaspersky Lab wzbudziła próbka szkodliwego oprogramowania, która była intrygująca z następujących powodów:
· Próbka była podpisana znanym, skradzionym certyfikatem należącym do chińskiej organizacji Guangzhou YuanLuo Technology. Wiadomo, że certyfikat ten był wykorzystywany przez grupę Winnti do podpisywania innych narzędzi.
· Szkodnik podszywał się pod aplikację net.exe firmy Microsoft. Prawdopodobnie miało to na celu zmniejszenie ryzyka zidentyfikowania tego pliku przez administratorów jako niebezpiecznego programu.
Wszystkie te czynniki sprawiły, że próbka ta została uznana za podejrzaną. Dalsza analiza wykazała, że HDRoot stanowi uniwersalną platformę umożliwiającą ciągłą i długotrwałą obecność w systemie, a ponadto może zostać wykorzystany do uruchomienia każdego innego narzędzia. Badacze z Kaspersky Lab zdołali zidentyfikować dwa rodzaje trojanów uruchamianych przy użyciu tej platformy, ale może być ich więcej. Jeden z nich zdołał obejść znane produkty antywirusowe w Korei Południowej - V3 Lite firmy AhnLab, V3 365 Clinic firmy AhnLab oraz ALYac firmy ESTsoft. Grupa Winnti wykorzystywała ten moduł dawniej do uruchamiania szkodliwego oprogramowania na atakowanych maszynach w Korei Południowej.
Według danych pochodzących z chmury Kaspersky Security Network Korea Południowa stanowi główny obszar zainteresowania grupy Winnti w Azji Południowo Wschodniej. Poza innymi celami w tym regionie (łącznie z organizacjami z Japonii, Chin, Bangladeszu oraz Indonezji) Kaspersky Lab wykrył również infekcje oprogramowaniem HDRoot w firmie w Wielkiej Brytanii oraz w Rosji. Obydwie te firmy stanowiły już wcześniej cel grupy Winnti.
"Głównym celem każdego ugrupowania cyberprzestępczego jest uniknięcie radaru, czyli pozostanie w cieniu. Rzadko możemy zobaczyć tu skomplikowane szyfrowanie kodu, ponieważ w ten sposób cyberprzestępcy mogliby ściągnąć na siebie uwagę. Członkowie ugrupowania Winnti podjęli to ryzyko, ponieważ z doświadczenia prawdopodobnie wiedzą, które ślady należy zatrzeć, a które można pominąć. Pomaga w tym fakt, że organizacje nie zawsze stosują najlepsze polityki bezpieczeństwa przez cały czas. Administratorzy muszą zajmować się wieloma sprawami, a jeżeli zespół jest niewielki, szanse na to, że aktywność cyberprzestępcza pozostanie niewykryta, są jeszcze wyższe" - powiedział Dmitrij Tarakanow, starszy badacz ds. bezpieczeństwa IT, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab.
Zagrożenie jest nadal aktywne. Od czasu, gdy Kaspersky Lab zaczął dodawać sygnatury pozwalające na wykrywanie HDRoota, odpowiedzialna za opisywane ataki grupa zaczęła go modyfikować - nowa wersja została zidentyfikowana w ciągu niecałego miesiąca.
Produkty firmy Kaspersky Lab skutecznie blokują opisywane szkodliwe oprogramowanie, chroniąc użytkowników przed zagrożeniem.
Więcej informacji o zaawansowanych cyberzagrożeniach zawiera kronika ataków ukierunkowanych prowadzona przez Kaspersky Lab: https://apt.securelist.com/pl.
Szczegóły techniczne dotyczące aktywności ugrupowania Winnti są dostępne w serwisie SecureList.com prowadzonym przez Kaspersky Lab: http://r.kaspersky.pl/hdroot_1.
Źródło informacji: firma Kaspersky Lab