國際知名的信息安全廠商卡巴斯基實驗室日前發(fā)表聲明稱，其安全專家們收集到的證據(jù)表明，中國黑客組織Winnti目前的攻擊范圍已經(jīng)不僅限于網(wǎng)絡(luò)游戲行業(yè)，開始擴(kuò)大到了電信和大型制藥公司。

Winnti組織從2009年開始就對網(wǎng)絡(luò)游戲行業(yè)公司發(fā)動攻擊，竊取由合法軟件供應(yīng)商簽發(fā)的數(shù)字證書，此外還會竊取知識產(chǎn)權(quán)內(nèi)容，包括在線游戲項目的源代碼。得到源代碼后，該組織通常將其放到中國黑市進(jìn)行兜售，或是直接用到這些源代碼制作山寨游戲來以此獲利。

直到2013年該組織首次遭到巴斯基實驗室的曝光。在2011年秋季開始全球大量計算機(jī)上檢測到一款惡意木馬程序，而在這些受感染計算機(jī)之間有一個明顯的關(guān)聯(lián)，即這些計算機(jī)上都安裝了一款流行的網(wǎng)絡(luò)游戲。剛開始用戶懷疑是該游戲公司在用戶計算機(jī)上安裝了惡意軟件，從而監(jiān)視用戶行為。不過之后的調(diào)查發(fā)現(xiàn)，這些安裝到游戲玩家計算機(jī)上的惡意程序是網(wǎng)絡(luò)罪犯所為，而且他們的攻擊目標(biāo)其實是這家游戲公司。為了找出幕后黑手，該游戲公司邀請卡巴斯基實驗室對這一惡意程序進(jìn)行分析。

據(jù)卡巴斯基實驗室的調(diào)查顯示，該木馬是一種針對64位Windows環(huán)境的DLL動態(tài)鏈接庫，并且使用了一種合法簽名的驅(qū)動。該木馬是一種功能全面的遠(yuǎn)程控制工具（RAT），能夠在計算機(jī)用戶不知情的情況下，讓攻擊者完全控制受感染計算機(jī)。賽門鐵克將該木馬命名為Winnti，卡巴斯基延用了這一名字?？ò退够l(fā)現(xiàn)該木馬依賴于一位殺毒軟件公司中國研究員開發(fā)的木馬分析工具AheadLib，于是認(rèn)為該組織與中國有關(guān)。在隨后研究人員對攻擊者身份的搜索中，一名92年出生的名叫魏楠的中國人成為最大的嫌疑對象。

卡巴斯基實驗室發(fā)布的調(diào)查報告中，當(dāng)時已有至少有35家游戲開發(fā)商遭到Winnti的攻擊，其中以東南亞以及南韓游戲制作公司為主，另外德國、美國、日本、中國、俄羅斯、巴西、秘魯和白俄羅斯等地區(qū)都遭到不同程度的攻擊，其中微軟、蘋果、Twitter和Facebook也成為其受害者。

盡管被卡巴斯基實驗室曝光，不過Winnti從未停止過網(wǎng)絡(luò)攻擊。而根據(jù)卡巴斯基實驗室專家們的最新發(fā)現(xiàn)，一向以攻擊游戲制造商為主的Winnti，已經(jīng)擴(kuò)大了他們的攻擊范圍。在Novetta的專家們4月份發(fā)表的一份有關(guān)Winnti惡意軟件的報告中，研究人員檢測到一種Winniti惡意軟件變種Winniti 3.0，其中的一個驅(qū)動程序Winnti網(wǎng)絡(luò)rootkit使用了一個被盜的證書來簽名，該證書屬于一家日本企業(yè)的某個部門?？ò退够鶎嶒炇覍＜覐?qiáng)調(diào)，該集團(tuán)還開發(fā)和生產(chǎn)醫(yī)藥和醫(yī)療設(shè)備。

不過，研究人員目前還是無法提供任何證據(jù)表明Winniti參與了這些活動。目前唯一能確定的是該組織的攻擊目標(biāo)已經(jīng)不再僅限于網(wǎng)絡(luò)游戲公司，還包括電信和大型制藥公司。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。