L’organizzazione criminale “Winnti” ha compromesso i sistemi di alcune aziende di gaming online, sottraendo la proprietà intellettuale e i certificati digitali
Roma, 12 aprile 2013 – Il team di esperti di Kaspersky Lab ha pubblicato un report dettagliato che analizza la campagna di spionaggio informatico condotta dall'organizzazione criminale nota come "Winnti."
Secondo il report di Kaspersky Lab, il gruppo Winnti attacca le aziende del settore del gaming online dal 2009 ed è ancora attivo. Gli obiettivi del gruppo sono i certificati digitali creati dai produttori di software legittimi e il furto della proprietà intellettuale, incluso il codice sorgente dei progetti per i giochi online.
Il primo incidente risale all’autunno del 2011, quando un trojan venne rilevato su un numero di computer di utenti localizzati in tutto il mondo. Il legame tra i computer infetti era l’utilizzo di un particolare e molto diffuso gioco online. Poco dopo l'incidente, è emerso che il programma nocivo che aveva infettato i computer degli utenti era inserito all’interno un aggiornamento legittimo del server ufficiale della società proprietaria del gioco. Il malware era stato installato per spiare gli utenti infetti e i membri della community online. Successivamente è emerso che il programma nocivo è stato installato sui computer dei giocatori per puro caso, mentre i criminali informatici avevano come obiettivo la società di videogiochi.
In risposta, l'editore del gioco proprietario dei server da cui sono partiti i trojan, ha chiesto a Kaspersky Lab di analizzare il programma nocivo. Il trojan si è rivelato una library DLL compilata per un ambiente Windows a 64 bit che utilizzava un disco rigido ufficiale. Il Remote Administration Tool (RAT) ha offerto poi la possibilità ai criminali informatici di controllare i computer delle vittime senza che l’utente lo venisse a sapere. Questa scoperta è particolarmente importante, in quanto questo trojan è stato il primo programma nocivo a 64 bit di Microsoft Windows 7 con una firma digitale valida.
Gli esperti di Kaspersky Lab hanno iniziato ad analizzare la campagna del gruppo Winnti e hanno scoperto che più di 30 aziende del settore dei giochi online erano state infettate; la maggior parte di queste si trovano nel Sud Est Asiatico. Il gruppo Winnti ha colpito anche aziende presenti in Germania, Stati Uniti, Giappone, Cina, Russia, Brasile, Perù e Bielorussia.
Oltre allo spionaggio industriale, gli esperti di Kaspersky Lab hanno individuato tre principali sistemi di monetizzazione che potrebbero essere stati utilizzati dal gruppo Winnti per generare profitto:
Gestire il flusso di moneta generato dai giochi online, come ad esempio "rune" o "oro" che viene utilizzato dai giocatori per convertire il denaro virtuale accumulato in denaro reale;
Utilizzare il codice sorgente rubato dai server di gioco online per individuare la vulnerabilità all'interno dei giochi e velocizzare il processo di accumulo e manipolazione del denaro senza creare sospetti;
Utilizzare il codice sorgente rubato dai server di giochi online per realizzare i propri server pirata.
Attualmente il gruppo Winnti è ancora attivo e l’indagine di Kaspersky Lab è in corso. Il team di esperti dell’azienda sta collaborando con organizzazioni attive nel gioco online e con le autorità competenti per identificare ulteriori server infetti.
Per leggere i post della ricerca Kaspersky Lab e il rapporto completo, si prega di visitare il sito Securelist.
I prodotti Kaspersky Lab sono in grado di rilevare e neutralizzare i programmi nocivi e le relative varianti utilizzate dal gruppo Winnti, classificate come Backdoor.Win32.Winnti, Backdoor.Win64.Winnti, Rootkit.Win32.Winnti e Rootkit.Win64.Winnti.
