2013年，卡巴斯基實(shí)驗(yàn)室的安全專家披露一個(gè)針對(duì)游戲行業(yè)的網(wǎng)絡(luò)間諜活動(dòng)，并且惡意程序還是用有效的數(shù)字證書(shū)簽名的。間諜活動(dòng)的幕后威脅者叫做 Winnti group，其目標(biāo)是竊取游戲社區(qū)的虛擬貨幣和源代碼。

??

攻擊范圍

據(jù)卡巴斯基發(fā)現(xiàn)，Winnti group從2009年一直活躍至今，全球有超過(guò)30家游戲公司和在線游戲平臺(tái)都遭到該組織的攻擊。

據(jù)稱Winnti group是一個(gè)基于中國(guó)的間諜組織，其大部分攻擊目標(biāo)位于東南亞、德國(guó)、美國(guó)、日本、中國(guó)、俄羅斯、巴西、秘魯、白俄羅斯。2015年6月，卡巴斯基還搜集到一些證據(jù)，表明Winnti group的攻擊范圍已經(jīng)從單純的游戲行業(yè)擴(kuò)大到了電信、制藥公司。

進(jìn)一步的分析發(fā)現(xiàn)，Winnti group其實(shí)是被當(dāng)成攻擊平臺(tái)來(lái)感染目標(biāo)組織的系統(tǒng)。該APT組織使用的攻擊工具叫做“HDRoot”，是2006年開(kāi)發(fā)出來(lái)的。至于Winnti group為什么會(huì)使用HDRoot工具?可能是2009年Winnti group成立時(shí)，HDRoot的作者加入了Winnti group，也可能是Winnti group在地下市場(chǎng)上買到了該工具。

HDRoot被黑客用來(lái)在目標(biāo)系統(tǒng)上投放惡意后門，進(jìn)而可以持續(xù)性的進(jìn)行間諜活動(dòng)。安全研究員還發(fā)現(xiàn)HDRoot工具受 VMProtect保護(hù)，而且在該攻擊案例中，攻擊者首先入侵了一個(gè)數(shù)字簽名公司——中國(guó)廣州元珞(音譯)科技公司，然后用它們的數(shù)字簽名來(lái)掩蓋HDRoot工具。

安全專家們發(fā)現(xiàn)了兩個(gè)HDRoot傳送的后門樣本，其中一個(gè)主要針對(duì)的是韓國(guó)公司;與此同時(shí)，卡巴斯基還在美國(guó)和俄羅斯分別發(fā)現(xiàn)了這兩個(gè)版本的后門。