Stručnjaci iz kompanije Kaspersky Lab oktrili su, prateći delovanje grupe Winnti, aktivnu pretnju zasnovanu na ,,bootkit’’ instalaciji iz 2006. godine. Ova pretnja, koju je Kaspersky Lab nazvao ,,HDRoot’’ po originalnom imenu alata ,,HDD Rootkit’’, predstavlja univerzalnu platformu koja obezbeđuje stabilnost u sistemu koji je meta napada, i koja se može iskoristiti kao baza za druge alate.
Kriminalna organizacija Winnti poznata je po kampanjama sajber špijunaže čija su meta softverske kompanije, naročito one koje proizvode video igrice. Od nedavno su mete njihovih napada postale i farmaceutske kompanije.
,,HDRoot’’ je otkriven kada je jedan primerak malvera zainteresovao tim za globalna istraživanja i analizu u kompaniji Kaspersky Lab (GReAT), i to iz sledećih razloga:
- Bio je zaštićen komercijalnim VMProtect Win64 izvršnim fajlom, koji je bio potpisan poznatim kompromtovanim sertifikatom koji pripada kineskoj kompaniji Guangzhou YuanLuo Technology. U pitanju je sertfikat koji je grupa Winnti zloupotrebila kako bi potpisala druge alate za hakerske napade;
- Karakteristike i tekst izvršnih fajlova bili su kreirani tako da izgledaju kao Microsoft-ov Net Command net.exe fajl, sa očiglednim ciljem da se umanje šanse da sistemski administratori etiketiraju program kao maliciozan.
Detaljnom analizom utvrđeno je da je HDRoot bootkit univerzalna platforma za održivo i konstantno prisustvo programa u sistemu. Ona može biti korišćena kako bi pokrenula bilo koji drugi alat za hakerski napad. Istraživači iz kompanije Kaspersky Lab uspeli su da identifikuju dva tipa skrivenih virusa koji su pokrenuti pomoću ove platforme, a postoji opasnost od prisustva sličnih virusa. Jedan od ovih skrivenih virusa uspeo je da izbegne detekciju renomiranih južnokorejskih antivirus programa – AhnLab V3 365 Clinic i EST soft Alyac. Upravo zbog toga je grupa Winnti koristila ovu platformu kako bi aktivirala malver programe na brojnim uređajima u Južnoj Koreji koji su bili mete napada.
Prema podacima sigurnosne mreže kompanije Kaspersky Lab, Južna Koreja je glavna oblast u jugoistočnoj Aziji za koju je zainteresovana grupa Winnti; druge mete u ovom regionu obuhvataju organizacije u Japanu, Kini, Bangladešu i Indoneziji. Kompanija Kaspersky Lab je takođe otkrila HDRoot viruse u kompanijama u Velikoj Britaniji i Rusiji, a obe su već prethodno bile na meti grupe Winnti.
,,Najvažniji cilj za bilo kojeg učesnika APT napada jeste da ne bude otkriven, tj. da ostane u senci. Upravo zbog toga se mi retko susrećemo sa komplikovanim kodovima i šiframa, zato što bi to privuklo pažnju. Grupa Winnti je preuzela određeni rizik, verovatno zato što iz iskustva zna koji tragovi napada treba da ostanu prikriveni, a koji mogu biti previđeni s obzirom na to da organizacije ne primenjuju uvek najbezbednija sigurnosna pravila. Administratori sistema moraju da nadgledaju mnoge pretnje i tragove, i ako je njihov tim mali, veća je šansa da će sajber kriminalna aktivnost ostati neprimećena’’, izjavio je Dimitri Tarakanov (Dmitry Tarakanov), viši bezbednosni istraživač u timu GReAT kompanije Kaspersky Lab.
Razvoj HDD Rootkit programa najverovatnije je delo nekoga ko se pridružio grupi Winnti kada je ona osnovana. Kompanija Kaspersky Lab smatra da je grupa Winnti formirana 2009. godine, tako da ona nije ni postojala 2006. godine. Međutim, postoji mogućnost da je grupa Winnti koristila softver neke treće strane. Moguće je da su taj program i izvorni kod dostupni na kineskom ili nekom drugom nelegalnom sajber tržištu. Pretnja je i dalje prisutna. Od kada je kompanija Kaspersky Lab počela da povećava broj otkrivanja virusnih pretnji, grupa koja stoji iza napada je počela da se adaptira – za manje od mesec dana je identifikovana nova modifikacija pretnje.
Proizvodi kompanije Kaspersky lab uspešno blokiraju malver i štite korisnika od pretnji.