Ngày 16/10, Các chuyên gia tại Kaspersky Lab theo dõi hoạt động của nhóm hacker Winnti nhận thấy mối đe dọa đang hoạt động dựa trên rootkit installer 2006. Mối đe dọa được Kaspersky Lab gọi là “HDRoot”, thay cho cái tên “HDD Rootkit” ban đầu, là nền tảng phổ biến xuất hiện dai dẳng trên hệ thống mục tiêu có thể được dùng như bệ đỡ cho bất kì công cụ nào.
“HDRoot” bị phát hiện khi mẫu của phần mềm độc hại này thu hút sự chú ý của Nhóm phân tích và nghiên cứu toàn cầu Kaspersky Lab (GReAT) vì những nguyên nhân sau:
- Trojan được bảo vệ bằng VMProtect Win64, có thể khởi chạy trên máy tính với chứng chỉ thỏa hiệp thuộc công ty công nghệ YuanLuo, Quảng Châu, Trung Quốc – chứng chỉ Winnti lạm dụng để đánh dấu các công cụ khác.
- Đặc tính và câu lệnh đầu ra bị nhái lại để làm cho nó trông như Net Command net.exe của Microsoft, rõ ràng là dùng để giảm khả năng bị quản trị viên hệ thống liệt chương trình vào danh sách thù địch.
Những điều trên gộp lại làm mẫu phần mềm này trở nên đáng nghi. Phân tích sâu hơn cho thấy HDRoot rootkit là nền tảng phổ biến xuất hiện dai dẳng trên hệ thống mục tiêu. Nó có thể được dùng để khởi chạy những công cụ khác. Các nhà nghiên cứu GReAT tìm thấy 2 loại backdoor được khởi chạy với sự trợ giúp từ công cụ này và có thể còn nhiều hơn nữa. Một trong những loại backdoor này có thể vượt mặt sản phẩm lâu đời chống virus ở Hàn Quốc: AhnLab’s V3 Lite, AhnLab’s V3 365 Clinic và ESTsoft’s ALYac. Chính vì vậy mà Winnti đã dùng nó để khởi chạy phần mềm độc hại trên máy mục tiêu ở Hàn Quốc.
Theo dữ liệu an ninh mạng của Kaspersky, Hàn Quốc là khu vực chính ở Đông Nam Á mà Winnti nhắm tới, cùng với các mục tiêu khác trong khu vực bao gồm tổ chức tại Nhật Bản, Trung Quốc, Bangladesh và Ấn Độ. Kaspersky Lab cũng phát hiện sự lây nhiễm từ HDRoot trong một công ty ở Anh và một công ty ở Nga, cả 2 công ty này trước đây đều đã từng bị Winnti nhắm vào.
Dmitry Tarakanov, Nhân viên cấp cao trong nhóm Nhà nghiên cứu bảo mật, GReAT, Kaspersky Lab cho biết: “Mục đích quan trọng nhất của bất kì APT nào là để không bị phát hiện, để lẩn trốn trong bóng tối. Đó là vì sao chúng tôi hiếm khi thấy bầt kì sự mã hóa mã phức tạp nào bởi vì chúng sẽ gây sự chú ý. Nhóm hacker Winnti chấp nhận rủi ro vì chúng có thể biết dấu hiệu nào nên che đậy và dấu hiệu nào có thể bị bỏ sót vì các tổ chức không phải lúc nào cũng áp dụng chính sách bảo mật tốt nhất. Quản trị viên hệ thống phải luôn nhớ rất nhiều thứ, và nếu nhóm nhỏ thì cơ hội để hoạt động của tội phạm mạng tồn tại thậm chí sẽ cao hơn nữa”.
Bình luận