Alphabet'in siber-güvenlik firması Chronicle'ın güvenlik araştırmacıları, ecza devi Bayer'e karşı yakın zamanda düzenlenen saldırıyı incelerken Winnti kötü amaçlı yazılımının bir Linux sürümünü buldular. Araştırmacıların söylediğine göre Linux sürümü içerisinde bulunan kod, Çinli siber suçlular tarafından son on yıldır Dünya genelinde saldırılar düzenlemede kullanılan Winnti 2.0 Windows sürümünü anımsatıyor.
Güvenlik uzmanları, aralarında Winnti, Wicked Panda, ShadowPad, DeputDog, APT17, PassCV ve diğerlerinin de bulunduğu bazı Gelişmiş Sürekli Tehdit (Advanced Persistent Threat – APT) gruplarının Winnti çatısı altında çalıştıklarını düşünüyor. Bütün bu gruplar geçmişte benzer stratejiler ve teknikler kullanmışlardı ve hatta aynı hack altyapısının parçalarını da paylaşmışlardı.
Chronicle'ın söylediğine göre Winnti'nin Linux sürümü, etkilenen host'lar üzerinde bir arka kapı olarak çalışmak için tasarlanmış ve hacker'lara, sisteme ulaşma imkanı veriyor.
Araştırmacılar, Linux sürümünün varlığını ilk olarak firmanın VirusTotal platformu üzerinde Winnti kötü amaçlısı örnekleri ararken buldular. Chronicle, Linux sürümünü analiz ettikten sonra 2015'e kadar geri gittiğini ve bir arka kapı Trojan'ı (libxselinux) ile kötü amaçlıyı gizlemek için kullanılan bir kütüphaneyi (libselinux.so) içerdiğini buldular.
Araştırmacılar, blog yazılarında Winnti'nin Linux sürümünün nasıl çalıştığına yönelik detayları paylaşırken, Winnti'nin diğer sürümleri gibi burada da kötü amaçlının çekirdek bileşeninin çalıştıranlara özel bir işlev vermediğini, temel olarak iletişimlerle ilgilenmek ve direkt olarak komuta ve kontrol sunucularından modülleri yüklemek için kullanıldığını belirttiler...