Grupa Winnti zawiodła

Zespół ekspertów Kaspersky Lab opublikował swój najnowszy raport, który dotyczy cyberszpiegowskich działań utworzonej już grupy Winnti. Według ekspertów z Kaspersky, grupa cyberprzestępcza od 2009 roku zagraża branży gier hazardowych online i tworzenia gier, która do dziś jest bardzo aktywna. Celem grupy jest kradzież certyfikatów cyfrowych oraz własności intelektualnej od twórców gier, w tym kodu źródłowego gier online.

Firma monitoruje grupę Winnti od jesieni 2011 roku, kiedy eksperci zidentyfikowali złośliwego wirusa trojańskiego, który dotknął kilku użytkowników końcowych na całym świecie. Eksperci znaleźli wyraźny związek między zainfekowanymi komputerami a grami online. Krótko po incydencie okazało się, że szkodliwe oprogramowanie było częścią oficjalnego serwera hazardowego, który był stale aktualizowany na komputerach ofiar.

Użytkownicy zaangażowani w sprawę w tamtym czasie nadal wierzyli, że wirus został zainstalowany na maszynach przez firmę tworzącą gry komputerowe w celu szpiegowania klientów. Jednak później ujawniono, że wirus został popełniony przez grupę cyberszpiegowską o nazwie Winnti, której celem była sama firma zajmująca się tworzeniem gier komputerowych online.

Okazało się, że trojan był biblioteką DLL (Dynamically Linked Library) skompilowaną dla 64-bitowego systemu Windows, która posiadała ważny podpis cyfrowy cyberprzestępców. Według ekspertów z Kaspersky Lab był to pierwszy trojan z prawidłowym podpisem cyfrowym napisanym dla 64-bitowego systemu Microsoft Windows 7.

Eksperci z Kaspersky Lab zbadali i przeanalizowali początkową kampanię Winnti Group, w której udział wzięło ponad 30 wiodących firm zajmujących się tworzeniem gier online w Azji Południowo-Wschodniej. Ponadto kilka firm brało udział w ataku w Niemczech, Stanach Zjednoczonych, Japonii, Chinach, Rosji, Brazylii, Peru i Białorusi. [Kasperski]