Wirus atakuje firmy zajmujące się produkcją gier online

11 kwietnia, 2013

Zespół ekspertów z Kaspersky Lab dokonał szczegółowej analizy aktywnej kampanii cyberszpiegowskiej prowadzonej przez cyberprzestępców z organizacji znanej jako „Winnti”. Według raportu Kaspersky Lab grupa Winnti od 2009 r. atakuje firmy zajmujące się produkcją gier online. Działania grupy obejmują kradzież cyfrowych certyfikatów podpisanych przez legalnych producentów oprogramowania oraz kradzież własności intelektualnej, w tym kodu źródłowego projektów gier internetowych.

klp fragment kodu winnti big

Pierwszy incydent, który skierował uwagę na szkodliwe działania grupy Winnti, miał miejsce jesienią 2011 r., kiedy to na dużej liczbie komputerów użytkowników końcowych na całym świecie został wykryty złośliwy trojan. Wyraźnym związkiem pomiędzy wszystkimi zainfekowanymi komputerami było to, że były one używane do grania w popularną grę online. Wkrótce po tym incydencie okazało się, że złośliwy program infekujący komputery użytkowników był częścią aktualizacji oprogramowania i pochodził z oficjalnego serwera firmy produkującej grę. Użytkownicy, których komputery zostały zainfekowane, i członkowie społeczności graczy podejrzewali, że wydawca gier komputerowych celowo wymusił zainstalowanie złośliwego oprogramowania, aby szpiegować swoich klientów. Jednak później okazało się, że szkodliwy program został zainstalowany na komputerach graczy przez przypadek, a rzeczywistym celem cyberprzestępców była właśnie firma produkująca gry komputerowe.

W odpowiedzi na incydent wydawca gier komputerowych, który był właścicielem serwerów rozprzestrzeniających trojana, zwrócił się do Kaspersky Lab z prośbą o analizę szkodliwego programu. Trojan okazał się być biblioteką DLL, przygotowaną dla 64-bitowego środowiska Windows i używającą prawidłowo podpisanego złośliwego certyfikatu. Szkodnik był w pełni funkcjonalnym narzędziem zdalnej administracji (RAT – Remote Administration Tool), które dawało napastnikowi możliwość kontrolowania komputera użytkownika bez jego wiedzy. Odkrycie było szczególnie ważne, ponieważ analizowany trojan był pierwszym szkodliwym programem na 64-bitową wersję systemu Microsoft Windows, który posiadał ważny podpis cyfrowy.

Specjaliści z Kaspersky Lab rozpoczęli analizę kampanii prowadzonej przez grupę Winnti. Na drodze dochodzenia okazało się, że ofiarami infekcji było ponad 30 firm z branży gier komputerowych. Większość z nich to firmy programistyczne produkujące gry wideo w Azji Południowo-Wschodniej, ale także producenci gier online z Niemiec, Stanów Zjednoczonych, Japonii, Chin, Rosji, Brazylii, Peru i Białorusi.

Oprócz procederu szpiegostwa przemysłowego eksperci z Kaspersky Lab zidentyfikowali trzy główne systemy zarabiania pieniędzy, które mogą być wykorzystywane przez grupę Winnti do generowania nielegalnego przychodu:

  • Manipulowanie gromadzeniem waluty wewnątrz gier („runy”, „złoto” itp.), która jest wykorzystywana przez graczy do zamiany dóbr wirtualnych na prawdziwe pieniądze.
  • Używanie kodu źródłowego skradzionego z serwerów gier internetowych do wyszukiwania luk w zabezpieczeniach wewnątrz gier w celu zwiększenia przychodów wirtualnej waluty i jej akumulacji bez wywoływania żadnych podejrzeń.
  • Używanie kodu źródłowego skradzionego z serwerów popularnych gier online do wdrażania własnych pirackich serwerów.

Obecnie grupa Winnti pozostaje nadal aktywna, a śledztwo Kaspersky Lab jest w toku. Zespół ekspertów z firmy ściśle współpracuje ze społecznością zaangażowaną w bezpieczeństwo IT, przemysłem gier online i instytutami certyfikacji w celu identyfikacji kolejnych zainfekowanych serwerów i udzielania pomocy przy odwoływaniu skradzionych certyfikatów.

Więcej informacji dotyczących kampanii prowadzonej przez grupę Winnti, wraz ze szczegółową analizą techniczną, pojawi się już wkrótce w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab.

Produkty Kaspersky Lab wykrywają i neutralizują szkodliwe oprogramowanie wykorzystywane przez grupę Winnti. Szkodniki klasyfikowane są jako: Backdoor.Win32.Winnti, Backdoor.Win64.Winnti, Rootkit.Win32.Winnti oraz Rootkit.Win64.Winnti.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]