Winnti Group, responsable de la plataforma de ataque utilizada para infectar organizaciones de Corea del Sur, Reino Unido y Rusia
Los analistas de Kaspersky Lab han seguido la actividad de Winnti Group y han descubierto una nueva amenaza basada en un bootkit de 2006. La amenaza, bautizada por Kaspersky Lab como HDRoot (nombre de la herramienta original: HDD Rootkit), es una plataforma universal utilizada como punto de apoyo para el desarrollo de otras herramientas arbitrarias.
La organización cibercriminal Winnti es conocida por campañas de ciberespionaje industrial dirigidas a empresas de software, especialmente las de la industria del gaming. Aunque últimamente también se han observado ataques dirigidos a empresas farmacéuticas.
"HDRoot" fue descubierto cuando una muestra de malware despertó el interés del equipo de analistas del GREaT de Kaspersky Lab:
• Estaba protegida con un ejecutable VMProtect Win64 firmado con un conocido certificado comprometido que pertenece a la entidad china, Guangzhou YuanLuo Technology, un certificado que el grupo Winnti ya había usado para firmar otras herramientas.
• Las propiedades y salida de texto del ejecutable se copiaron para que se viera como el comando net.exe de Microsoft, con el fin de reducir el riesgo de ser descubierto por los administradores de sistemas.
Esto hizo que los analistas sospecharan de la muestra. Un análisis posterior mostró que el bootkit HDRoot es una plataforma universal que puede utilizarse para activar y desplegar cualquier otra herramienta. Los analistas pudieron identificar dos tipos de backdoors operativos con la ayuda de esta plataforma y se cree que pueden existir más. Uno de estos backdoors fue capaz de pasar por alto los productos antivirus en Corea del Sur - AhnLab’s V3 Lite, AhnLab’s V3 365 Clinic and ESTsoft’s ALYac. Por lo tanto, Winnti lo utilizó para lanzar malware en los equipos en Corea del Sur.
Según los datos de Kaspersky Security Network, Corea del Sur es el área de interés principal para el grupo Winnti en el sudeste asiático; pero existen otros objetivos en esta región, incluyendo organizaciones en Japón, China, Bangladesh e Indonesia. Kaspersky Lab también ha detectado infecciones HDRoot en una empresa en Reino Unido y en Rusia, ambas en el punto de mira del grupo Winnti.
"El objetivo más importante para cualquier APT es permanecer en la sombra. Por ese motivo, rara vez vemos algún cifrado complicado, porque eso llamaría la atención. El grupo Winnti corrió el riesgo, ya que seguramente saben por experiencia qué señales pueden ser descubiertas y cuáles pueden pasar desapercibidas, ya que las organizaciones no siempre aplican las mejores políticas de seguridad. Los administradores de sistemas tienen que estar pendientes de muchas cosas y, si el equipo es pequeño, la posibilidad de que la actividad cibercriminal permanezca sin ser detectada es aún mayor", afirma Dmitry Tarakanov, analista senior de seguridad de Kaspersky Lab.
El desarrollo del rootkit HDD es probable que proceda de alguien que pasó a formar parte del grupo Winnti cuando se creó. Según Kaspersky Lab, Winnti estaba formando el grupo en 2009, por lo que no existía aún en 2006. Pero también existe la posibilidad de que Winnti hiciera uso de software de terceros. Tal vez esta utilidad y el código fuente estaba disponible en el cibermercado chino u otro. La amenaza sigue activa.
Desde que Kaspersky Lab comenzó a añadir detecciones, el grupo que permanece tras los ataques ha comenzado a adaptarlos y en menos de un mes, se identificó una nueva modificación. Los productos de Kaspersky Lab bloquean con éxito el malware y protegen a los usuarios frente a la amenaza.
