Selon le rapport de Kaspersky Lab, le groupe Winnti, encore actif aujourd’hui s’attaque à des sites de jeu en ligne depuis 2009. Il a pour objectifs de dérober non seulement de la propriété intellectuelle - notamment le code source des jeux en ligne - mais aussi des certificats numériques signés par des éditeurs de logiciels légitimes.

Le premier incident qui a attiré l’attention sur les activités malveillantes du groupe Winnti s’est produit à l’automne 2011, lorsqu’un cheval de Troie a été détecté sur les ordinateurs d’un grand nombre d’utilisateurs à travers le monde. Le lien manifeste entre toutes les machines infectées est que celles-ci ont été utilisées pour jouer en ligne.

Peu de temps après, il est apparu que le programme malveillant à l’origine de l’infection faisait partie d’une mise à jour régulière du serveur officiel du site de jeu. Les utilisateurs contaminés et les joueurs en général ont soupçonné l’éditeur d’avoir installé le malware afin d’espionner ses clients. Cependant, il s’est avéré par la suite que le programme malveillant avait été installé sur les ordinateurs des joueurs par accident, alors que les cybercriminels visaient en réalité le site de jeu lui-même. En réponse, l’éditeur propriétaire des serveurs ayant propagé le cheval de Troie à ses utilisateurs a demandé à Kaspersky Lab d’analyser le programme malveillant. Le cheval de Troie s’est révélé être une bibliothèque DLL compilée pour un environnement Microsoft Windows 64 bits, utilisant une signature appropriée. Il s’agissait d’un outil de type RAT (Remote Administration Tool) aux fonctionnalités complètes, qui donne aux auteurs de l’attaque la possibilité de prendre le contrôle de l’ordinateur d’une victime à son insu. La découverte est de taille car ce cheval de Troie est le premier programme malveillant opérant sur une version 64 bits de Windows avec une signature numérique valide.

Les experts de Kaspersky Lab ont entrepris d’analyser la campagne de Winnti et découvert que plus de 30 sites de jeu en ligne avaient été infectés par celle-ci, la majorité d’entre eux appartenant à des éditeurs de logiciels du sud-est asiatique. Cependant, des entreprises du secteur situées dans d’autres pays (Allemagne, Etats-Unis, Japon, Chine, Russie, Brésil, Pérou, Biélorussie) ont également été identifiées comme des victimes de Winnti.

En dehors de l’espionnage industriel, les experts de Kaspersky Lab ont identifié trois principales techniques susceptibles d’être employées par le groupe Winnti pour en tirer des profits illicites :

· accumulation et manipulation de sommes d’argent virtuelles utilisées par les joueurs, pour une conversion en argent réel ;

· exploitation du code source volé sur les serveurs de jeu en ligne pour la recherche de vulnérabilités dans les jeux en vue d’accentuer la manipulation d’argent virtuel et d’en accumuler sans éveiller les soupçons ;

· exploitation du code source volé sur des serveurs très fréquentés pour la création de sites pirates.

Actuellement, le groupe Winnti est toujours actif et les investigations de Kaspersky Lab se poursuivent. L’équipe d’experts de la société travaille avec la communauté de la sécurité informatique, le secteur du jeu en ligne et les autorités de certification pour identifier d’autres serveurs infectés.