Winnti组织专门针对游戏公司托管的服务器,窃取源代码创建私服,同时盗窃钱财或虚拟货币。它攻击了超过30家网络游戏公司,受害者包括了2家北美公司,14家韩国公司,2家德国公司,2家俄罗斯公司。Winnti的网络间谍活动至少持续了四年,它引起关注是在2011年,一种木马在网游玩家之间传播,这种木马是通过官方游戏服务器的定期更新下载到玩家电脑上的,有人怀疑是游戏公司试图监视玩家。但随后的调查发现,网游公司才是攻击目标。卡巴斯基分析了游戏更新服务器上找到的恶意程序,发现该恶意程序是一个为64位Windows环境编译的DLL库,使用了一个正确签名的驱动,包含了RAT(远程管理工具)。赛门铁克将该木马命名为Winnti,卡巴斯基延用了这一名字。
木马使用的数字证书属于韩国网络游戏公司KOG,由Verisign发行,现已撤销。该证书只是Winnti组织使用的一系列游戏公司数字证书之一。卡巴斯基注意到一种巧合:2011年攻击韩国社交网站Cyworld和Nate的木马使用的数字证书来自日本游戏公司 YNK Japan ;上个月攻击西藏和维吾尔活动人士的木马使用的证书同样来自YNK Japan;另一起攻击维吾尔活动人士的木马使用的证书来自游戏公司MGAME Corp...卡巴斯基认为,所有被窃取的游戏公司数字证书都源于Winnti组织,该组织要么与其它中国黑客组织关系密切,要么通过地下黑市供应了数字证书。
卡巴斯基分析的显示,恶意程序依赖于一位杀毒软件公司中国研究员开发的木马分析工具AheadLib,恶意程序作者发现AheadLib可以方便的创建恶意程序代理库(malicious proxy-libraries)。当受害者感染木马之后,它会下载程序ff._exe到Config.Msi文件夹内,搜索HTML、MS Excel、MS Word、Adobe、PowerPoint和MS Works文档,以及TXT文本文件。研究人员在其编码中发现了中文字符。
研究人员通过各种线索对攻击者身份展开了搜索,发现了一些可能是团队成员的网站和博客,
如:
http://zhikou.yo2.cn/,
http://www.exploit,db.co/exploits/11053/,
http://zzsky.5d6d.net/archiver/tid-127.html,
http://forum.cnsec.org/thread-50222-1-1.html,
http://zzsky.5d6d.net/archiver/tid-127.html
代码中的一个字符ydteam似乎指向了黑客网站 ydteam.cn,WHOIS搜索发现注册人叫魏楠,注册商是北京新网数码信息技术公司,魏楠的邮箱是wn6805@126.com,QQ号97676416,出生日期1992年12月21日...