Bendrovės „Kaspersky Lab“ ekspertai, stebintys „Winnti group“ veiklą, aptiko aktyvią grėsmę, kurios pagrindinis instrumentas – 2006 metų pavyzdžio kenkėjiškos programos diegėjas. „HDRoot“ pavadinta grėsmė – aukos kompiuterį užkrečianti universali platforma, kuri gali būti naudojama ir kitiems atakos instrumentams operacinėje sistemoje paleisti.
Grupuotės „Winnti“ specializacija – kibernetinio šnipinėjimo kampanijų, nukreiptų prieš programinės įrangos gamintojus, vykdymas. Ypač aktyviai ji veikia kompiuterinių žaidimų srityje. Neseniai buvo nustatyta, kad grupuotės taikinių spektras išsiplėtė ir jame atsirado farmacijos bei telekomunikacijų bendrovių.
„HDRoot“ buvo aptikta tuomet, kai „Kaspersky Lab“ ekspertai aptiko kenkėjiškos programinės įrangos pavyzdį. Jis bendrovės specialistams pasirodė įtartinas dėl šių priežasčių:
- kodas nuo analizės buvo apsaugotas programa „VMProtect Win64“, pasirašyta žinomu sukompromituotu sertifikatu, kuris priklauso Kinijos bendrovei „Guangzhou YuanLuo Technology“; šis sertifikatas jau buvo taikomas atakoms vykdyti;
- paleistas failas buvo užmaskuotas kaip „Microsoft’s Net Command net.exe“; tokiu būdu buvo akivaizdžiai siekta sumažinti kenkėjiškos programos aptikimo riziką.
Šios paminėtos priežastys patvirtino, kad tiriama programa tikrai įtartina. Tolesnis tyrimas parodė, kad kenkėjiška programa – tai platforma „HDRoot“. „GreAT“ tyrėjai identifikavo du naudojantis šia programa išplatintus tipus, tačiau įtarė, kad jų gali būti ir daugiau. Viena iš šių programų buvo pajėgi apeiti daugelį Pietų Korėjos antivirusinių priemonių, tokių kaip „AhnLab’s V3 Lite“, „AhnLab’s V3 365 Clinic“, „ESTsoft’s ALYac“ ir kt. Sprendžiant iš atakų geografijos, būtent ši šalis kelia didžiausią atakuojančiųjų susidomėjimą.
Remiantis „Kaspersky Security Network“ duomenimis, grupuotės „Winnti“ atakos nukreiptos į Pietų ir Vakarų Aziją – į organizacijas Japonijoje, Kinijoje, Bangladeše bei Indonezijoje.
„Kaspersky Lab“ taip pat nustatė „HDRoot“ užkratus Didžiosios Britanijos ir Rusijos bendrovėse, kurios jau anksčiau buvo tapusios grupuotės „Winnti“ vykdomų atakų aukomis. „Viena pagrindinių nusikaltėlių užduočių vykdant bet kokią tikslinę ataką – išlaikyti ją paslaptyje. Štai kodėl jie retai taiko sudėtingą kodo šifravimą – tai atkreips dėmesį.
Šiuo atveju grupuotė „Winnti“ surizikavo, kadangi reikėjo paslėpti televizijos programos eilutes, aiškiai išduodančias jos kenkėjišką esmę. Tikriausiai sukčiai gerai žino, kaip nuodugniai didžioji administratorių dalis analizuoja įtartinus failus, ką reikia nuo jų paslėpti ir ko aukos gali nepastebėti. Juk organizacijos ne visada laiku imasi taikyti reikalingas saugumo politikas. Sistemos administratoriai priversti sekti daug ką, todėl, jeigu IT specialistų bendrovėje nedaug, tikimybė, kad kibernetinių nusikaltėlių veikla liks nepastebėta, itin didelė“, – sako Dmitrijus Tarakanovas, „Kaspersky Lab“ vyriausiasis saugumo ekspertas.
Gali būti, kad kenkėjiškos programos „HDD Rootkit“, sukurtos 2006 metais, autoriai vėliau tapo grupuotės „Winnti“ nariais. Bendrovės „Kaspersky Lab“ manymu, tai galėjo nutikti 2009 metais. Būtent šiuo faktu galima paaiškinti sugrįžimą prie beveik dešimties metų istoriją skaičiuojančio instrumento. Tačiau neatmetama galimybė, kad ši programa ir jos kodas pasiekiami ir Kinijos bei kitų šalių juodosiose kibernetinių nusikaltimų rinkose. Grėsmė vis dar aktyvi. Nuo to laiko, kai „Kaspersky Lab“ vis aptinka naujus jos pavyzdžius, atakuojantieji pradėjo jas greitai modifikuoti. Mažiau nei prieš mėnesį buvo aptikta nauja programos modifikacija.
Bendrovės „Kaspersky Lab“ produktai sėkmingai blokuoja kenkėjišką programinę įrangą ir apsaugo naudotojus nuo jos keliamų kibernetinių grėsmių.
