WinDealer

Mažiau žinoma kiniškai kalbanti kibernetinių nusikaltėlių grupuotė vykdo atakas, kuriomis į pažeistus įrenginius siunčiama informaciją vagianti kenkėjiška programa. „LuoYu“ grupės įsilaužėliai perima teisėtų programų naujinimus ir perjungia juos su kenkėjiška apkrova, vadinamomis „žmogaus pusėje“ atakomis. Kad infekcija būtų sėkminga, grėsmės veikėjai aktyviai stebi savo pasirinktų aukų tinklo srautą. Pastebėjus programos atnaujinimo užklausą, susijusią su populiariais Azijos rinkoje programinės įrangos produktais, tokiais kaip QQ, Wanga Wang ar WeChat, LuoYu įsilaužėliai jas pakeičia WInDealer kenkėjiškos programos diegimo programomis.

Vykdydamas aukos „Windows“ sistemą, „WinDealer“ leis užpuolikams atlikti įvairius įžeidžiančius ir kenkėjiškus veiksmus. Viena iš pagrindinių grėsmės funkcijų yra susijusi su konfidencialių ir neskelbtinų duomenų rinkimu ir vėlesniu išfiltravimu. Tačiau įsilaužėliai taip pat gali pasikliauti WinDealer, kad įdiegtų daugiau specializuotų užpakalinių durų grėsmių, kad būtų užtikrintas jų išlikimas įrenginyje. „WinDealer“ gali manipuliuoti failų sistema, ieškoti papildomų įrenginių, prijungtų prie to paties tinklo, arba vykdyti savavališkas komandas.

Viena iš ypatingų grėsmės ypatybių yra jos bendravimo su savo komandų ir valdymo (C2, C&C) serveriu būdas. Užuot naudoję sunkiai užkoduotą C2 serverį, LuoYu kibernetiniai nusikaltėliai sukūrė 48 000 IP adresų iš Xizang ir Guizhou Kinijos provincijų telkinį. Grėsmė prisijungs prie atsitiktinio ChinaNET (AS4134) IP adreso iš šio telkinio. Kaspersky kibernetinio saugumo tyrėjai, paskelbę išsamią informaciją apie LuoYu ir WinDealer, mano, kad įsilaužėliai gali naudoti tokią techniką, nes turi prieigą prie kompromisinių maršrutizatorių AS4134 viduje arba naudoja IPT lygio teisėsaugos priemones. Kita galimybė yra ta, kad grėsmės veikėjai turi vidinius metodus, kurie plačiajai visuomenei vis dar nežinomi.