国际知名的信息安全厂商卡巴斯基实验室日前发表声明称,其安全专家们收集到的证据表明,中国黑客组织Winnti目前的攻击范围已经不仅限于网络游戏行业,开始扩大到了电信和大型制药公司。
Winnti组织从2009年开始就对网络游戏行业公司发动攻击,窃取由合法软件供应商签发的数字证书,此外还会窃取知识产权内容,包括在线游戏项目的源代码。得到源代码后,该组织通常将其放到中国黑市进行兜售,或是直接用到这些源代码制作山寨游戏来以此获利。
直到2013年该组织首次遭到巴斯基实验室的曝光。在2011年秋季开始全球大量计算机上检测到一款恶意木马程序,而在这些受感染计算机之间有一个明显的关联,即这些计算机上都安装了一款流行的网络游戏。刚开始用户怀疑是该游戏公司在用户计算机上安装了恶意软件,从而监视用户行为。不过之后的调查发现,这些安装到游戏玩家计算机上的恶意程序是网络罪犯所为,而且他们的攻击目标其实是这家游戏公司。为了找出幕后黑手,该游戏公司邀请卡巴斯基实验室对这一恶意程序进行分析。
据卡巴斯基实验室的调查显示,该木马是一种针对64位Windows环境的DLL动态链接库,并且使用了一种合法签名的驱动。该木马是一种功能全面的远程控制工具(RAT),能够在计算机用户不知情的情况下,让攻击者完全控制受感染计算机。赛门铁克将该木马命名为Winnti,卡巴斯基延用了这一名字。卡巴斯基发现该木马依赖于一位杀毒软件公司中国研究员开发的木马分析工具AheadLib,于是认为该组织与中国有关。在随后研究人员对攻击者身份的搜索中,一名92年出生的名叫魏楠的中国人成为最大的嫌疑对象。
卡巴斯基实验室发布的调查报告中,当时已有至少有35家游戏开发商遭到Winnti的攻击,其中以东南亚以及南韩游戏制作公司为主,另外德国、美国、日本、中国、俄罗斯、巴西、秘鲁和白俄罗斯等地区都遭到不同程度的攻击,其中微软、苹果、Twitter和Facebook也成为其受害者。
尽管被卡巴斯基实验室曝光,不过Winnti从未停止过网络攻击。而根据卡巴斯基实验室专家们的最新发现,一向以攻击游戏制造商为主的Winnti,已经扩大了他们的攻击范围。在Novetta的专家们4月份发表的一份有关Winnti恶意软件的报告中,研究人员检测到一种Winniti恶意软件变种Winniti 3.0,其中的一个驱动程序Winnti网络rootkit使用了一个被盗的证书来签名,该证书属于一家日本企业的某个部门。卡巴斯基实验室专家强调,该集团还开发和生产医药和医疗设备。
不过,研究人员目前还是无法提供任何证据表明Winniti参与了这些活动。目前唯一能确定的是该组织的攻击目标已经不再仅限于网络游戏公司,还包括电信和大型制药公司。