Potrivit raportului Kaspersky Lab, gruparea Winnti a atacat mai multe companii din industria jocurilor online încă din 2009, fiind activă şi în prezent. Obiectivele grupării sunt de a fura certificate digitale cu semnături ale furnizorilor legitimi de software şi proprietate intelectuală, inclusiv codul sursă al proiectelor pentru noi jocuri online.
Primul incident care a atras atenţia asupra activităţilor rău intenţionate ale grupării Winnti a avut loc în toamna anului 2011, când un Troian a fost detectat pe un număr mare de computere ale utilizatorilor finali din întreaga lume. Legătura evidentă între computerele infectate era că toate erau utilizate pentru a juca un joc online foarte popular. La scurt timp după incident, au fost descoperite informaţii conform cărora programul malware care infectase computerele utilizatorilor provenea dintr-un update obişnuit de pe serverul oficial al companiei de jocuri. Utilizatorii afectaţi şi membrii comunităţii de jucători online au suspectat compania de jocuri ca fiind responsabilă pentru instalarea malware-ului, cu scopul de a-şi spiona clienţii. Însă, ulterior s-a dovedit că programul maliţios a fost instalat pe computerele jucătorilor în mod accidental, infractorii cibernetici vizând, de fapt, însăşi compania de jocuri.
Ulterior, furnizorul de jocuri online, care deţinea serverele de pe care s-a răspândit Troianul, a cerut ajutorul experţilor Kaspersky Lab ca să analizeze programul maliţios. Troianul s-a dovedit a fi o librarie (DLL) compilată special pentru un mediu Windows de 64-bit, care folosea un driver cu o semnătură digitală validă. Acesta era un instrument de administrare de la distanţă (Remote Administration Tool) complet funcţional, care le oferea atacatorilor posibilitatea de a controla computerele victimelor fără ca aceştia să îşi dea seama. Descoperirea a fost foarte importantă deoarece acest Troian a fost primul program malware descoperit pentru Microsoft Windows 7 pe 64 biti, care avea o semnătură digitală validă.
Experţii Kaspersky Lab au început să analizeze campania grupării Winnti. În ultimul an au fost identificate peste 30 de companii din industria de jocuri online care au fost infectate de aceşti infractori cibernetici, majoritatea dintre ele fiind companii dezvoltatoare de software, care produc jocuri video online în Asia de Sud-Est. Există însă şi companii de jocuri online din Germania, Statele Unite, Japonia, China, Rusia, Brazilia, Peru şi Belarus care au fost, de asemenea, victime ale grupării Winnti.
Pe lângă spionajul industrial, experţii Kaspersky Lab au identificat trei scheme principale de monetizare care erau folosite de gruparea Winnti pentru a obţine profituri ilegale:
Manipulau sumele de bani virtuali obţinuţi în timpul jocurilor, precum “rune” sau “aur”, folosite de jucători, convertindu-i ulterior în bani reali.
Foloseau codul sursă furat de pe serverele jocurilor online pentru a descoperi vulnerabilităţi în jocuri. Aceste erau folosite pentru a dezvolta şi a accelera manipularea banilor virtuali şi acumularea lor, fără a fi suspectaţi.
Foloseau codul sursă furat de pe serverele jocurilor online populare pentru a lansa propriile servere pirat.
În prezent, gruparea Winnti este încă activă, iar cercetările Kaspersky Lab sunt în curs de desfăşurare. Echipa de experţi a companiei colaborează cu comunitatea de securitate IT, industria de jocuri online şi autorităţile de certificare pentru a identifica alte servere infectate şi retrăgând, în acelaşi timp, certificatele digitale compromise.
Articolul despre cercetarea Kaspersky Lab şi raportul complet despre campania grupării Winnti, incusiv analiza tehnică în întregime a investigaţiei, sunt disponibile pe Securelist.
Produsele Kaspersky Lab detectează şi neutralizează aceste programe malware şi alte versiuni ale lor, folosite de gruparea Winnti, fiind clasificate ca Backdoor.Win32.Winnti, Backdoor.Win64.Winnti, Rootkit.Win32.Winnti şi Rootkit.Win64.Winnti.