Expertos de Kaspersky Lab han dado seguimiento a la actividad del grupo Winnti y han descubierto una amenaza activa basada en el instalador de un bootkit de 2006.
La amenaza es llamada HDRoot debido a HDD Rootkit, el nombre original de la herramienta, es una plataforma universal ideal para la presencia sostenible y persistente dentro de un sistema objetivo, que puede ser utilizado como un punto de apoyo para cualquier herramienta arbitraria.
La organización criminal Winnti es conocida por las campañas de ciberespionaje industrial dirigidas a empresas de software, especialmente a la industria del juego. Recientemente se han observado también objetivos en las empresas farmacéuticas.
HDRoot fue descubierto cuando una muestra de malware despertó el interés de los investigadores por las siguientes razones:
-En conjunto, estas características hicieron que la muestra se viera esencialmente sospechosa. Un análisis posterior mostró que el bootkit HDRoot es una plataforma universal para la permanencia sostenible y persistente en un sistema, y puede ser utilizado para iniciar cualquier otra herramienta.
Los investigadores fueron capaces de identificar dos tipos de puertas traseras abiertas con la ayuda de esta plataforma, aunque podría haber más. Una de estas puertas traseras fue capaz de pasar por alto productos antivirus bien establecidos en Corea del Sur: AhnLab’s V3 Lite, AhnLab’s V3 365 Clinic y ESTsoft's ALYac. El grupo Winnti podría haber utilizado el programa para lanzar malware dirigido a equipos en Corea del Sur.
Según los datos de Kaspersky Security Network, Corea del Sur es la principal área de interés en el sudeste asiático para el grupo Winnti, aunque hay otros objetivos en esta región, entre ellos organizaciones en Japón, China, Bangladesh e Indonesia. Kaspersky Lab también ha detectado infecciones HDRoot en una empresa del Reino Unido y en una de Rusia, ambas habían sido blancos previos de Winnti.
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT