Winnti mở rộng nền tảng tấn công vào các tổ chức ở Hàn Quốc, Anh và Nga

Các chuyên gia tại Kaspersky Lab theo dõi hoạt động của nhóm hacker Winnti nhận thấy mối đe dọa đang hoạt động dựa trên rootkit installer 2006. Mối đe dọa được Kaspersky Lab gọi là “HDRoot”, thay cho cái tên “HDD Rootkit” ban đầu, là nền tảng phổ biến xuất hiện dai dẳng trên hệ thống mục tiêu có thể được dùng như bệ đỡ cho bất kì công cụ nào.

Winnti được biết đến với những chiến dịch gián điệp mạng nhắm vào công ty phần mềm.Winnti được biết đến với những chiến dịch gián điệp mạng nhắm vào công ty phần mềm.

Tổ chức tội phạm Winnti được biết đến với những chiến dịch gián điệp mạng nhắm vào công ty phần mềm, đặc biệt là những công ty trong ngành công nghiệp trò chơi điện tử. Gần đây, nó còn nhắm vào công ty dược phẩm.

“HDRoot” bị phát hiện khi mẫu của phần mềm độc hại này thu hút sự chú ý của Nhóm phân tích và nghiên cứu toàn cầu Kaspersky Lab (GReAT) vì những nguyên nhân sau:

- Trojan được bảo vệ bằng VMProtect Win64, có thể khởi chạy trên máy tính với chứng chỉ thỏa hiệp thuộc công ty công nghệ YuanLuo, Quảng Châu, Trung Quốc - chứng chỉ Winnti lạm dụng để đánh dấu các công cụ khác.

- Đặc tính và câu lệnh đầu ra bị nhái lại để làm cho nó trông như Net Command net.exe của Microsoft, rõ ràng là dùng để giảm khả năng bị quản trị viên hệ thống liệt chương trình vào danh sách thù địch.

Những điều trên gộp lại làm mẫu phần mềm này trở nên đáng nghi. Phân tích sâu hơn cho thấy HDRoot rootkit là nền tảng phổ biến xuất hiện dai dẳng trên hệ thống mục tiêu. Nó có thể được dùng để khởi chạy những công cụ khác. Các nhà nghiên cứu GReAT tìm thấy 2 loại backdoor được khởi chạy với sự trợ giúp từ công cụ này và có thể còn nhiều hơn nữa. Một trong những loại backdoor này có thể vượt mặt sản phẩm lâu đời chống virus ở Hàn Quốc: AhnLab’s V3 Lite, AhnLab’s V3 365 Clinic và ESTsoft’s ALYac. Chính vì vậy mà Winnti đã dùng nó để khởi chạy phần mềm độc hại trên máy mục tiêu ở Hàn Quốc.

Theo dữ liệu an ninh mạng của Kaspersky, Hàn Quốc là khu vực chính ở Đông Nam Á mà Winnti nhắm tới, cùng với các mục tiêu khác trong khu vực bao gồm tổ chức tại Nhật Bản, Trung Quốc, Bangladesh và Ấn Độ. Kaspersky Lab cũng phát hiện sự lây nhiễm từ HDRoot trong một công ty ở Anh và một công ty ở Nga, cả 2 công ty này trước đây đều đã từng bị Winnti nhắm vào.

Dmitry Tarakanov, Nhân viên cấp cao trong nhóm Nhà nghiên cứu bảo mật, GReAT, Kaspersky Lab cho biết: “Mục đích quan trọng nhất của bất kì APT nào là để không bị phát hiện, để lẩn trốn trong bóng tối. Đó là vì sao chúng tôi hiếm khi thấy bầt kì sự mã hóa mã phức tạp nào bởi vì chúng sẽ gây sự chú ý. Nhóm hacker Winnti chấp nhận rủi ro vì chúng có thể biết dấu hiệu nào nên che đậy và dấu hiệu nào có thể bị bỏ sót vì các tổ chức không phải lúc nào cũng áp dụng chính sách bảo mật tốt nhất. Quản trị viên hệ thống phải luôn nhớ rất nhiều thứ, và nếu nhóm nhỏ thì cơ hội để hoạt động của tội phạm mạng tồn tại thậm chí sẽ cao hơn nữa”.

Sự phát triển của HDD Rootkit có thể là việc của kẻ nào đó đang thực hiện để tham gia nhóm Winnti khi nhóm này được thành lập. Kaspersky Lab tin rằng Winnti được lập ra từ năm 2009, do vậy chưa từng tồn tại vào năm 2006, nhưng có khả năng là Winnti sử dụng phần mềm từ bên thứ ba. Có thể phần mềm và mã nguồn đã có sẵn trên chợ đen Trung Quốc hoặc những tội phạm mạng khác. Từ khi Kaspersky Lab bắt đầu rà soát, nhóm đứng sau các cuộc tấn công bắt đầu thích nghi được khi chưa đầy 1 tháng sau, một bản bổ sung đã được tìm thấy...

Để biết thêm về nền tảng tấn công của Winnti, bạn đọc có thể tham khảo trên blog tại Securelist.com.

(GN)