Експерти досліджували активність "групи Winnti"
Восени 2011-го року на комп'ютери величезної кількості гравців однієї з популярних онлайн ігор разом з оновленнями ігри потрапив троян. Але, як з'ясувалося згодом, справжньою мішенню зловмисників були не гравці, а компанії, що займаються розробкою і видавництвом комп'ютерних ігор. Ігрова компанія, з серверів якої поширився троян, звернулася до «Лабораторії Касперського» з проханням проаналізувати шкідливу програму, яку співробітники компанії виявили на сервері оновлень. Виявлене шкідливе пз володіло функціоналом бекдор, що потай від користувача надавав можливість зловмисникам керувати зараженим комп'ютером.
В ході дослідження було виявлено, що подібне шкідливе пз вже детектировалось раніше і значиться в колекції «Лабораторії Касперського». Тепер сімейство таких зловредів відомо під назвою Winnti. Відповідно, людей, які стоять за атаками з використанням цього засоби віддаленого управління, також стали називати «група Winnti».
Докладний аналіз зразків Winnti дозволив виявити кілька ключових фактів про атаки. За час існування Winnti не менше 35 компаній коли-або заражені цією групою зловмисників, і діє ця група вже досить давно - як мінімум з 2009-го року. Географію розповсюдження зловредів також можна вважати глобальної: атаковані компанії розташовані по всьому світу - в Німеччині, США, Японії, Китаї, Росії та багатьох інших країнах. Однак у групи Winnti спостерігається тяжіння до країн Східної Азії: кількість виявлених загроз там вище. Крім того, в ході дослідження було з'ясовано, що за організацією кіберзлочинів стоять хакери китайського походження, а фірмовим стилем цієї групи стала крадіжка сертифікатів у атакованих компаній і подальше їх використання для нових атак.
Результати дослідження наочно продемонстрували, що атакам такого роду може бути піддана будь-яка організація, дані якої можна ефективно монетизувати. Експерти «Лабораторії Касперського» виділили 3 основні схеми монетизації кампанії Winnti:
- нечесне накопичення ігрової валюти/«золота» в онлайн іграх і переклад віртуальних коштів у реальні гроші;
- крадіжка пакети серверної частини онлайн ігор для пошуку вразливостей в іграх, що може призвести до описаного вище методом нечесного збагачення;
- крадіжка пакети серверної частини популярних онлайн ігор для подальшого розгортання піратських серверів.
«Наше дослідження виявило тривалу широкомасштабну кампанію кибершпионажа з боку кримінальної групи, що має китайське походження. Основною метою атакуючих стала крадіжка вихідних кодів ігрових проектів компаній і цифрових сертифікатів. Крім того, зловмисників цікавили дані про організації мережевих ресурсів, включаючи ігрові сервери, і нових розробках: концептах, дизайні і т.п., - зазначає один з авторів звіту антивірусний експерт «Лабораторії Касперського» Віталій Камлюк. - В ході розслідування нам вдалося запобігти передачі даних на сервер зловмисників і ізолювати заражені системи в локальній мережі компанії».