WinDealer

Vähetuntud hiina keelt kõnelev küberkurjategijate rühmitus viib läbi ründeoperatsioone, mis paigutavad sissemurtud seadmetele teavet varastava pahavara. LuoYu grupi häkkerid püüavad kinni legitiimsete rakenduste värskendused ja vahetavad need pahatahtliku koormusega nn kõrvalrünnakute käigus. Nakatumise õnnestumiseks jälgivad ohutegijad aktiivselt oma valitud ohvrite võrguliiklust. Kui täheldatakse Aasia turul populaarsete tarkvaratoodetega (nt QQ, Wanga Wang või WeChat) seotud rakenduse värskenduse taotlust, asendavad LuoYu häkkerid need WInDealeri pahavara installijatega.

Pärast ohvri Windowsi süsteemis hukamist võimaldab WinDealer ründajatel sooritada mitmesuguseid pealetükkivaid ja pahatahtlikke toiminguid. Ohu üks peamisi funktsioone on seotud konfidentsiaalsete ja tundlike andmete kogumise ja hilisema väljafiltreerimisega. Häkkerid võivad siiski loota ka WinDealerile, kes installib spetsiaalsemad tagaukseohud, et tagada nende püsivus seadmes. WinDealer saab manipuleerida failisüsteemiga, otsida samasse võrku ühendatud täiendavaid seadmeid või käivitada suvalisi käske.

Ohu üks eripära on viis, kuidas see suhtleb oma käsu- ja juhtimisserveriga (C2, C&C). Selle asemel, et kasutada kõvakodeeritud C2-serverit, on LuoYu küberkurjategijad loonud 48 000 IP-aadressi kogumi Hiina Xizangi ja Guizhou provintsist. Oht loob ühenduse juhusliku ChinaNET (AS4134) IP-aadressiga selle kogumi hulgast. Kaspersky küberjulgeolekuteadlased, kes avaldasid LuoYu ja WinDealeri üksikasjad, usuvad, et häkkerid on võimelised sellist tehnikat kasutama tänu juurdepääsule AS4134-s olevatele kompromissruuteritele või Interneti-teenuse pakkuja taseme õiguskaitsevahendite kasutamisele. Teine võimalus on, et ohus osalejatel on sisemised meetodid, mis on laiemale avalikkusele veel teadmata.