WINNKIT

WINNKIT on keerukas ja äärmiselt vältimatu oht, mis on avastatud Hiina toetatud APT (Advanced Persistent Threat) grupi Winnti arsenali osaks . Winnti pahavara toimis viimase kasuliku koormana mitmeastmelises nakkusahelas, mida kasutati aastaid kestnud küberspionaažikampaanias. Winnti, mida jälgiti ka kui APT41, Barium ja Blackfly, suutsid tungida Põhja-Ameerikas, Euroopas ja Aasias levinud sihtmärkide sisevõrkudesse.

Arvatakse, et häkkerid on hankinud sadu gigabaite konfidentsiaalset teavet, mis koosneb intellektuaalomandist ja omandiõigusega kaitstud andmetest, diagrammidest, joonistest ja muust. Üksikasjad operatsiooni täieliku nakkusahela ja kasutatud ähvardamisvahendite kohta avalikustati Cybereasoni avaldatud aruandes.

WINNKIT-oht on rootkiti võimalustega varustatud draiveri vormis. Selle varguse ja tuvastamise ja kõrvalehoidmise tehnikate tõhususe tunnistuseks on asjaolu, et WINNKIT on suutnud avastamata jääda vähemalt 3 aastat. Windows Vista 64-bitise ja uuema versiooniga Windowsi süsteemides leiduvast draiveri allkirja jõustamise (DSE) mehhanismist möödahiilimiseks sisaldab WINNKIT aegunud BenQ digitaalallkirja.

Pärast käivitamist ühendub WINNKIT võrguühendusega ja ootab ohus osalejate kohandatud käske. Sissetulevad käsud edastab juurkomplektile eelmise etapi pahavara, mida nimetatakse DEPLOYLOGiks. Kasutades peegeldavat laadimissüsti, saab WINNKIT sisestada rikutud moodulid seaduslikku svchost -protsessi, vältides samas tuvastamist. Aktiveeritud moodulid pakuvad ründajatele laia valikut pealetükkivaid funktsioone. Näiteks võib üks neist lubada kaugtöölaua juurdepääsu ohustatud süsteemile. Muu on võimeline pääsema juurde süsteemi käsureale. Samuti on spetsiaalsed moodulid failisüsteemiga manipuleerimiseks, andmete väljafiltreerimiseks ja valitud protsesside tapmiseks sihitud masinas.