Kaspersky analiza Winnti, un grupo cibercriminal operativo desde 2009
Winnti Group es conocido por sus campañas de ciberespionaje industrial dirigidas a empresas de software, especialmente las de la industria del gaming, aunque últimamente también se han observado ataques contra empresas farmacéuticas.
- Gaza cybergang, un nuevo grupo cibercriminal que ataca embajadas
- El ejército ruso atacado, posiblemente por un grupo de hackers chino
- Black Vine, un grupo de ciberespionaje con foco en grandes objetivos
- Vuelve Wild Neutron, un grupo hacker con víctimas de alto perfil
- Volatile Cedar, campaña de ciberespionaje con posibles vínculos con grupos políticos de El Líbano
El grupo criminal Winnti es conocido por campañas de ciberespionaje industrial dirigidas a empresas de software, especialmente en el sector de los juegos. Pues bien, los analistas de Kaspersky Lab han seguido su actividad y han descubierto una nueva amenaza basada en un bootkit de 2006, que ha sido bautizada como "HDRoot" (nombre de la herramienta original "HDD Rootkit").
HDRoot fue descubierto cuando el equipo de analistas del GREaT de Kaspersky Lab detectó una muestra de malware sospechosa que estaba protegida con un ejecutable VMProtect Win64 firmado con un certificado comprometido que pertenece a la entidad china Guangzhou YuanLuo Technology, un certificado que el grupo Winnti ya había usado para firmar otras herramientas. Las propiedades y salida de texto del ejecutable se copiaron para que se viera como el comando net.exe de Microsoft, con el fin de reducir el riesgo de ser descubierto por los administradores de sistemas.
Un análisis posterior mostró que el bootkit HDRoot es una plataforma universal que puede utilizarse para activar y desplegar cualquier otra herramienta. Los analistas identificaron dos tipos de backdoors operativos con la ayuda de esta plataforma, uno de los cuales fue capaz de pasar por alto los productos antivirus AhnLab’s V3 Lite, AhnLab’s V3 365 Clinic and ESTsoft’s ALYac en Corea del Sur. Por lo tanto, Winnti lo utilizó para lanzar malware en los equipos en Corea del Sur.
Sal parecer, Corea del Sur es el área de interés principal para el grupo Winnti en la región, aunque existen otros objetivos, incluyendo organizaciones en Japón, China, Bangladesh e Indonesia. Kaspersky Lab también ha detectado infecciones HDRoot en una empresa en Reino Unido y en Rusia.
El desarrollo del rootkit HDD es probable que proceda de alguien que pasó a formar parte del grupo Winnti cuando se creó en 2009, pero también existe la posibilidad de que Winnti hiciera uso de software de terceros. La amenaza sigue activa, y el grupo que permanece tras los ataques ha comenzado a adaptarlos y en menos de un mes, se identificó una nueva modificación.
