Especialistas ESET encontrado que durante os protestos que começaram em março 2019, Winnti atacou duas universidades não identificadas de Hong Kong.
Os ataques foram detectados em novembro 2019 e começou com a descoberta do iniciador ShadowPad, que foi encontrado em vários dispositivos em duas universidades (logo após a campanha Winnti anterior detectada em outubro daquele ano).
“Encontramos uma nova variante do backdoor ShadowPad, o principal backdoor do grupo, implantado usando um novo iniciador e incorporando vários módulos. O malware Winnti também foi encontrado nessas universidades algumas semanas antes do ShadowPad”, — escrevem pesquisadores da ESET.
O Grupo Winnti, que está em funcionamento pelo menos desde 2012, é responsável pelos conhecidos ataques à cadeia de suprimentos na indústria de videogames e software, que resultou na disseminação do programa Trojan. Naquela época foram atacados CCleaner, ASUS LiveUpdate, e vários videogames. Esses cibercriminosos também são conhecidos por colocar em risco vários objetos nos setores de saúde e educação.
De acordo com especialistas em segurança da informação, ataques às universidades de Hong Kong foram direcionados, já que o malware Winnti e o backdoor modular Shadowpad continham C&URLs C e identificadores de campanha diretamente relacionados aos nomes das instituições educacionais afetadas.
“Além das duas universidades comprometidas, graças ao C&Formato de URL C usado pelos invasores, temos razões para pensar que pelo menos três universidades adicionais de Hong Kong podem ter sido comprometidas usando essas mesmas variantes ShadowPad e Winnti”, – dizem os pesquisadores.
Os especialistas acreditam que o objetivo final dos invasores era definitivamente a coleta e roubo de dados de máquinas hackeadas. Portanto, a opção ShadowPad, detectado em dispositivos infectados, tinha as funções de um keylogger e podia fazer capturas de tela usando a funcionalidade de 2 do 17 módulos que incluíam o malware.
Note-se também que durante esta campanha, o inicializador ShadowPad foi substituído por um mais simples que não usava ofuscação VMProtec, mas usou criptografia XOR em vez do algoritmo de criptografia de bloco RC5.
A campanha do Grupo Winnti contra as universidades de Hong Kong ocorreu no contexto de Hong Kong enfrentar protestos cívicos que começaram em junho 2019 e foram desencadeados por um projeto de lei de extradição. Embora o projeto de lei tenha sido retirado em outubro 2019, protestos continuaram, exigindo plena democracia e investigação da polícia de Hong Kong. Estes protestos reuniram centenas de milhares de pessoas nas ruas com grande apoio de estudantes de universidades de Hong Kong., levando a múltiplas ocupações de campus universitários pelos manifestantes.
Ataques de hackers patrocinados pelo governo, ambos against their citizens e against foreign companies, tornou-se um verdadeiro problema em 2019. Their number has skyrocketed. A guerra cibernética está em andamento no mundo e se você quiser não ficar vulnerável a ameaças de informação, use um software antivírus confiável.
