WinDealer

Vähemmän tunnettu kiinankielinen kyberrikollisryhmä suorittaa hyökkäysoperaatioita, joissa tunkeutuneille laitteille levitetään tietoa varastava haittaohjelma. LuoYu-ryhmän hakkerit sieppaavat laillisten sovellusten päivitykset ja siirtävät niitä haitallisilla hyötykuormilla ns. man-on-the-side -hyökkäyksissä. Tartunnan onnistumiseksi uhkatoimijat seuraavat aktiivisesti valitsemiensa uhrien verkkoliikennettä. Kun havaitaan Aasian markkinoiden suosittuihin ohjelmistotuotteisiin, kuten QQ, Wanga Wang tai WeChat, liittyvä sovelluspäivityspyyntö, LuoYu-hakkerit korvaavat ne WInDealer-haittaohjelman asentajilla.

Kun WinDealer teloitetaan uhrin Windows-järjestelmässä, hyökkääjät voivat suorittaa monenlaisia tunkeilevia ja haitallisia toimia. Yksi uhan tärkeimmistä toiminnoista liittyy luottamuksellisten ja arkaluonteisten tietojen keräämiseen ja myöhempään suodattamiseen. Hakkerit voivat kuitenkin luottaa siihen, että WinDealer asentaa erikoistuneempia takaoven uhkia varmistaakseen niiden pysyvyyden laitteella. WinDealer voi manipuloida tiedostojärjestelmää, etsiä muita samaan verkkoon kytkettyjä laitteita tai suorittaa mielivaltaisia komentoja.

Yksi uhan erikoinen ominaisuus on tapa, jolla se kommunikoi komento- ja ohjauspalvelimensa (C2, C&C) kanssa. Kovakoodatun C2-palvelimen sijaan LuoYu-verkkorikolliset ovat luoneet 48 000 IP-osoitteen joukon Kiinan Xizangin ja Guizhoun maakunnista. Uhka muodostaa yhteyden satunnaiseen ChinaNET (AS4134) IP-osoitteeseen kyseisestä poolista. Kasperskyn kyberturvallisuustutkijat, jotka julkaisivat tiedot LuoYusta ja WinDealerista, uskovat, että hakkerit pystyvät käyttämään tällaista tekniikkaa, koska heillä on pääsy AS4134:n sisällä oleviin kompromissireitittimiin tai ISP-tason lainvalvontatyökaluihin. Toinen mahdollisuus on, että uhkatoimijoilla on sisäiset menetelmät, jotka ovat vielä suurelle yleisölle tuntemattomia.