카스퍼스키랩 연구진이 그동안 Winnti 해킹 그룹의 활동에 대해 끈질기게 추적한 끝에 부트킷 설치 프로그램을 기반으로 하는 보안 위협을 밝혀내는 성과를 거뒀다고 밝혔다.

공격 툴의 이름인 ‘HDD 루트킷’을 따라 카스퍼스키랩 연구진이 ‘HDRoot’라고 명명한 이 보안 위협은 대상 시스템에서 오랜 시간 머무르면서 지속적인 공격을 감행하는 범용 플랫폼으로 모든 종류의 악성 코드를 실행하기 위한 발판으로도 사용될 수 있다.

사이버 범죄 조직인 Winnti는 주로 소프트웨어 회사를 대상으로 산업 사이버 스파이 활동을 전개하며 그 중에서도 특히 게임 산업을 노리는 것으로 알려져 있다. 최근에는 제약 산업 분야에도 손을 뻗치고 있음이 확인됐다.

HDRoot가 발견된 계기는 특이한 악성 코드 샘플이 카스퍼스키랩의 글로벌 연구 및 분석 팀(GReAT)의 관심을 끌면서 시작됐니다.

이는 중국 기업 Guangzhou YuanLuo Technology에서 도난당한 것으로 알려진 인증서로 서명된 상업용 VMProtect Win64 실행 파일로 서명됐기 대문. 이 인증서는 Winnti 그룹에서 다른 공격 툴을 서명할 때도 이용됐다.