Групата Winnti не успя

Екипът от експерти на „Лаборатория Касперски“ публикува последния си доклад, който се занимава с кибер шпионските действия на създадената сега Winnti Group. Според експерти на Kaspersky групата за киберпрестъпления заплашва онлайн хазарта и индустрията за разработване на игри от 2009 г. и все още е много активна и днес. Групата е насочена към кражба на цифрови сертификати, както и интелектуална собственост от разработчиците на игри, включително изходния код на онлайн играта.

Компанията наблюдава Winnti Group от есента на 2011 г., когато експертите установиха злонамерен троянски вирус, който засегна няколко крайни потребители по целия свят. Експертите са открили ясна връзка между заразените компютри и онлайн игрите. Малко след инцидента се оказа, че зловредният софтуер е част от официален сървър за хазарт, който постоянно се актуализира на компютрите на жертвите.

По това време потребителите, участващи в случая, все още вярваха, че вирусът е инсталиран на машините от компания за разработка на компютърни игри, за да шпионира клиентите. По-късно обаче беше разкрито, че вирусът е извършен от група за кибер шпионаж, наречена Winnti, където целта е самата компания за разработка на онлайн компютърни игри.

Установено е, че троянецът е DLL (динамично свързана библиотека), компилиран за 64-битов Windows, който има валиден цифров подпис от киберпрестъпници. Според експертите на Kaspersky Lab това е първата троянски програма с валиден цифров подпис, написана за 64-битова Microsoft Windows 7.

Експертите от Лабораторията на Касперски разгледаха и анализираха първоначалната кампания на Winnti Group, в която участваха повече от 30 водещи компании за разработка на онлайн игри в Югоизточна Азия. Освен това няколко компании бяха замесени в атаката в Германия, САЩ, Япония, Китай, Русия, Бразилия, Перу и Беларус. [Kaspersky]