Continua l’attività criminale dell’organizzazione Winnti ed è proprio recentemente che il Global Research and Analysis Team (GReAT) di Kaspersky Lab ha alzato la guardia scoprendo “HDRoot”, un curioso sample di malware che ha attirato la loro attenzione per le seguenti ragioni:
- era protetto da un eseguibile commerciale VMProtect Win64 firmato con un certificato che si sa essere stato compromesso, di proprietà dell’ente cinese Guangzhou YuanLuo Technology;
- le proprietà ed il testo di output dell’eseguibile erano stati progettati in modo da sembrare un Net Command net.exe di Microsoft, ovviamente in modo da ridurre il rischio che gli amministratori di sistema riconoscessero il programma come nocivo.
Le successiva analisi hanno mostrato che il bootkit HDRoot è una piattaforma universale per una presenza sostenibile e persistente su un sistema, dove può essere usata per lanciare qualsiasi altro tool. I ricercatori del GReAT Team sono stati in grado di identificare due tipi di backdoor lanciate con il supporto di questa piattaforma e potrebbero essercene altre. Una di queste backdoor era in grado di bypassare note soluzioni anti-virus coreane: AhnLab’s V3 Lite, AhnLab’s V3 365 Clinic e ESTsoft’s ALYac. Winnti utilizzava quindi la backdoor per lanciare prodotti malware sui dispositivi presi di mira in Corea del Sud.
Secondo i dati del Kaspersky Security Network, la Corea del Sud è la regione del sud-est asiatico di maggior interesse per il gruppo Winnti, che ha tuttavia altri obiettivi nella regione, tra cui organizzazioni situate in Giappone, Cina, Bangladesh e Indonesia. Kaspersky Lab ha rilevato infezioni di HDRoot anche in un’azienda del Regno Unito e una situata in Russia, entrambe le quali erano state precedentemente prese di mira dal gruppo Winnt.
Lo sviluppo dell’HDD Rootkit è probabilmente opera di qualcuno che si è unito al gruppo Winnti quando è stato creato, in quanto Kaspersky Lab crede che il gruppo si sia formato nel 2009 e nel 2006 non poteva dunque esistere. C’è tuttavia la possibilità che Winnti abbia fatto uso di un software di terze parti; forse questa utility ed il codice sorgente sono disponibili sul mercato nero cybercriminale in Cina o in altre regioni. La minaccia è ancora attiva e da quando Kaspersky Lab ha iniziato ad aggiungere rilevamenti, il gruppo che si cela dietro gli attacchi ha iniziato ad adattarsi ad essi: in meno di un mese è stata infatti identificata una nuova modifica.
