Cilj skupine je kraja digitalnih potrdil, ki jih izdajajo legitimni ponudniki programske opreme, in kraja intelektualne lastnine, vključno z izvorno kodo za spletne igralniške projekte. Prvi incident, ki je opozoril na zlonamerne aktivnosti skupine Winnti, se je zgodil jeseni leta 2011, ko so na velikem številu računalnikov po svetu pri končnih uporabnikih opazili škodljivega trojanskega konja. Povezava med vsemi okuženimi računalniki, katerih uporabniki so nekoč igrali priljubljeno spletno igro, je bila očitna.
Spletni kriminalci pravzaprav ciljali na sama podjetja z video igricami
Kmalu po dogodku so se pojavili nove informacije, da je bil zlonamerni program, ki je okužil računalnike uporabnikov, del rednega posodabljanja z uradnega strežnika igralniške družbe. Okuženi uporabniki in člani igralniške skupnosti so menili, da so zlonamerni program namestili v podjetju, ki ponuja spletne igre, da bi vohunili za svojimi strankami. Vendar se je kasneje izkazalo, da je bil zlonamerni program na računalnike uporabnikov nameščen po pomoti in da so spletni kriminalci pravzaprav ciljali na sama podjetja z video igricami.
Založnik računalniški iger, ki je imel v lasti omenjeni strežnik, ki je širil trojanskega konja, se je obrnil na Kaspersky Lab in jih prosil za analizo tega zlonamernega programa. Kot so ugotovili, je šlo pri trojanskem konju za DLL (ang. dynamic link libraries) knjižnico, ustvarjeno za 64-bitno okolje Windows, ki uporablja ustrezen zapis za zagon zlonamernega programa. Šlo je za popolnoma funkcionalno nadzorno administrativno orodje Remote Administration Tool (RAT), ki napadalcem omogoča možnost nadzora nad računalniki žrtev brez vednosti uporabnikov. To je bila pomembna ugotovitev, saj je omenjeni trojanski konj prvi zlonamerni program za 64-bitno različico Microsoft Windows, ki je imel veljaven digitalen podpis.
Okuženih več kot 30 podjetij v videoindustriji
Strokovnjaki iz Kaspersky Laba so pričeli analizirati kampanjo skupine Winnti in ugotovili, da je bilo v video industriji s strani skupine Winnti okuženih več kot 30 podjetij. Večina teh so predstavljala podjetja za razvoj programske opreme iz jugovzhodne Azije, ki se ukvarjajo z razvijanjem spletnih videoiger. Med žrtvami skupine Winnti pa so bila tudi podjetja iz Nemčije, ZDA, Japonske, Kitajske, Rusije, Brazilije, Peruja in Belorusije.
Skupina Winnti je trenutno še zmeraj aktivna, Kaspersky Lab pa nadaljuje s preiskovanjem primera. Skupina strokovnjakov se skupaj s skupino za IT varnost ter s spletno igralniško industrijo in certificiranimi oblastmi še naprej trudi, da bi prepoznala dodatne okužene strežnike, obenem pomaga pri preklicu ukradenih digitalnih potrdil. Celotno poročilo Kaspersky Laba o kampanji skupine Winnti, vključno s celotno tehnično analizo preiskave, si lahko preberete na Securelist.
