Il tam dei Kaspersky Lab ha pubblicato un dettagliato report che analizza l’operazione condotta dall’organizzazione criminale nota come “Winnti”. Si tratta, secondo Kaspersky Lab, di un gruppo attivo fin dal 2009 che attacca aziende del gaming on line e che ha come obiettivi i certificati digitali creati dai produttori di software legittimi e il furto della proprietà intellettuale, incluso il codice sorgente dei progetti per i giochi on line.
Il primo incidente si è verificato nel 2011 quando un trojan venne rilevato su un numero di computer di utenti sparsi in varie parti del mondo. Il legame tra questi computer era proprio l’utilizzo di un gioco on line molto diffuso e il programma nocivo era stato inserito all’interno degli aggiornamento legittimi del server ufficiale della società proprietaria del gioco. Quest’ultima ha chiesto ai Kaspersky labs di analizzare il programma nocivo e il troran si è rilevato essere una library Dll compilata per un ambiente Windows a 64 bit che utilizzava un hard disk ufficiale. Attraverso il Remote Administration Tool i criminali informatici riuscivano a controllare i computer delle vittime senza che questi venissero a scoprirlo e questo trojan è stato anche il primo programma nocivo a 64 bit di Microsoft Windows 7 ad avere una firma digitale valida.
Gli esperti dei Kaspersky Lab hanno poi scoperto che oltre 30 aziende di giochi online erano state colpite dal gruppo Winnti e oltre allo spionaggio industriale sono stati individuati anche altri sistemi di monetizzazione che i cybercriminali potrebbero utilizzare come fonte di profitto: ad esempio i sistemi di conversione del denaro virtuale accumulato in denaro reale oppure, l’utilizzo del codice sorgente rubato dai server per individuare vulnerabilità nei giochi e velocizzare poi il processo di accumulo di denaro, o per realizzare propri server pirata.
Attualmente il gruppo Winnti è ancora attivo e Kaspersky Lab sta continuando le proprie indagini. Il rapporto completo è pubblicato sul sito Securelist.