“HDRoot”, ilginç bir zararlı yazılım örneği. Kaspersky Lab’ın Global Araştırma ve Analiz Ekibi’nin (GReAT) dikkatini çeken; dosyaların sistem yöneticilerinin programı saldırı amaçlı olarak ifşa etmesi riskini düşürmek için Microsoft’un Net Command net.exe dosyası gibi görünecek şekilde düzenlenmiş olmasıydı.
Daha sonra yapılan analizler, HDRoot bootkit’inin bir sistemde sürdürülebilir ve tutarlı bir görünüm için evrensel bir platform olduğunu gösterdi. Şirketin araştırmacıları, bu platformun yardımıyla çalıştırılan iki tür arka kapı tespit etmeyi başardılar ve bunların sayısı daha fazla olabilir. Bu arka kapılardan biri, Güney Kore’de iyi tanınan antivirüs ürünleri olan AhnLab V3 Lite, AhnLab V3 365 Clinic ve ESTsoft’s ALYac incelemelerini atlatmayı başardı. Dolayısıyla Winnti, bunu Güney Kore’deki hedef makinelerde zararlı yazılım ürünlerini çalıştırmak için kullandı.
Kaspersky Security Network verilerine göre, Güney Kore Winnti grubunun Güneydoğu Asya’daki en çok ilgi duyduğu ülke. Bu bölgedeki şirketlerin dahil olduğu diğer hedef ülkeler arasında ise Japonya, Çin, Bangladeş ve Endonezya yer alıyor. Kaspersky Lab, HDRoot virüslerini İngiltere’deki ve Rusya’daki birer şirkette de tespit etti, bu şirketlerin her ikisi de önceden Winnti grup tarafından hedef alınmıştı.
Kaspersky Lab GReAT Ekibi Kıdemli Güvenlik Araştırmacısı Dmitry Tarakanov, “Herhangi bir APT oyuncusu için en önemli hedef, radara yakalanmamak, gölgede kalabilmektedir. Bu nedenle karmaşık kod şifrelemelerini nadiren görüyoruz çünkü bunlar dikkati çekebilirdi. Winnti grubu bir risk aldı çünkü şirketler daima bütün en iyi güvenlik ilkelerini uygulamadığı için muhtemelen hangi işaretlerin örtülmesi gerektiğini ve hangilerinin görmezden gelinebileceğini kendi deneyimlerinden biliyorlar. Sistem yöneticilerinin pek çok şeyden haberdar olması gerekiyor ve eğer ekip küçükse, siber suç faaliyetlerinin fark edilmemesi riski daha da yüksek oluyor,” şeklinde konuştu.
HDD Rootkit’in geliştirilmesinin Winnti grubu kurulduğu zaman onlara katılan birinin işi olması muhtemel. Kaspersky Lab, Winnti’nin 2009 yılında bir grup oluşturmaya çalıştığını, bu yüzden 2006’da var olmadığını düşünüyor. Ancak Winnti’nin üçüncü taraf yazılımlarından faydalanmış olması ihtimali de var. Belki bu yardımcı program ve kaynak kodu, Çin ya da başka ülkelerdeki siber suç karaborsasında mevcut olabilir. Tehdit hala etkin durumda. Kaspersky Lab, tespitler eklemeye başladığı için, saldırıların arkasındaki grup saldırılarını bunlara uyarlamaya başladı: Bir aydan kısa bir zamanda yeni bir değişim tespit edildi.