國(guó)際知名的信息安全廠商卡巴斯基實(shí)驗(yàn)室日前發(fā)表聲明稱，其安全專家們收集到的證據(jù)表明，中國(guó)黑客組織Winnti目前的攻擊范圍已經(jīng)不僅限于網(wǎng)絡(luò)游戲行業(yè)，開始擴(kuò)大到了電信和大型制藥公司。

Winnti組織從2009年開始就對(duì)網(wǎng)絡(luò)游戲行業(yè)公司發(fā)動(dòng)攻擊，竊取由合法軟件供應(yīng)商簽發(fā)的數(shù)字證書，此外還會(huì)竊取知識(shí)產(chǎn)權(quán)內(nèi)容，包括在線游戲項(xiàng)目的源代碼。得到源代碼后，該組織通常將其放到中國(guó)黑市進(jìn)行兜售，或是直接用到這些源代碼制作山寨游戲來以此獲利。

直到2013年該組織首次遭到巴斯基實(shí)驗(yàn)室的曝光。在2011年秋季開始全球大量計(jì)算機(jī)上檢測(cè)到一款惡意木馬程序，而在這些受感染計(jì)算機(jī)之間有一個(gè)明顯的關(guān)聯(lián)，即這些計(jì)算機(jī)上都安裝了一款流行的網(wǎng)絡(luò)游戲。剛開始用戶懷疑是該游戲公司在用戶計(jì)算機(jī)上安裝了惡意軟件，從而監(jiān)視用戶行為。不過之后的調(diào)查發(fā)現(xiàn)，這些安裝到游戲玩家計(jì)算機(jī)上的惡意程序是網(wǎng)絡(luò)罪犯所為，而且他們的攻擊目標(biāo)其實(shí)是這家游戲公司。為了找出幕后黑手，該游戲公司邀請(qǐng)卡巴斯基實(shí)驗(yàn)室對(duì)這一惡意程序進(jìn)行分析。

據(jù)卡巴斯基實(shí)驗(yàn)室的調(diào)查顯示，該木馬是一種針對(duì)64位Windows環(huán)境的DLL動(dòng)態(tài)鏈接庫，并且使用了一種合法簽名的驅(qū)動(dòng)。該木馬是一種功能全面的遠(yuǎn)程控制工具（RAT），能夠在計(jì)算機(jī)用戶不知情的情況下，讓攻擊者完全控制受感染計(jì)算機(jī)。賽門鐵克將該木馬命名為Winnti，卡巴斯基延用了這一名字。卡巴斯基發(fā)現(xiàn)該木馬依賴于一位殺毒軟件公司中國(guó)研究員開發(fā)的木馬分析工具AheadLib，于是認(rèn)為該組織與中國(guó)有關(guān)。在隨后研究人員對(duì)攻擊者身份的搜索中，一名92年出生的名叫魏楠的中國(guó)人成為最大的嫌疑對(duì)象。

卡巴斯基實(shí)驗(yàn)室發(fā)布的調(diào)查報(bào)告中，當(dāng)時(shí)已有至少有35家游戲開發(fā)商遭到Winnti的攻擊，其中以東南亞以及南韓游戲制作公司為主，另外德國(guó)、美國(guó)、日本、中國(guó)、俄羅斯、巴西、秘魯和白俄羅斯等地區(qū)都遭到不同程度的攻擊，其中微軟、蘋果、Twitter和Facebook也成為其受害者。

盡管被卡巴斯基實(shí)驗(yàn)室曝光，不過Winnti從未停止過網(wǎng)絡(luò)攻擊。而根據(jù)卡巴斯基實(shí)驗(yàn)室專家們的最新發(fā)現(xiàn)，一向以攻擊游戲制造商為主的Winnti，已經(jīng)擴(kuò)大了他們的攻擊范圍。在Novetta的專家們4月份發(fā)表的一份有關(guān)Winnti惡意軟件的報(bào)告中，研究人員檢測(cè)到一種Winniti惡意軟件變種Winniti 3.0，其中的一個(gè)驅(qū)動(dòng)程序Winnti網(wǎng)絡(luò)rootkit使用了一個(gè)被盜的證書來簽名，該證書屬于一家日本企業(yè)的某個(gè)部門。卡巴斯基實(shí)驗(yàn)室專家強(qiáng)調(diào)，該集團(tuán)還開發(fā)和生產(chǎn)醫(yī)藥和醫(yī)療設(shè)備。

不過，研究人員目前還是無法提供任何證據(jù)表明Winniti參與了這些活動(dòng)。目前唯一能確定的是該組織的攻擊目標(biāo)已經(jīng)不再僅限于網(wǎng)絡(luò)游戲公司，還包括電信和大型制藥公司。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。