Kaspersky Lab analizeaza o campanie de spionaj cibernetic care vizeaza companiile de jocuri online din intreaga lume

Echipa de experti Kaspersky Lab a publicat astazi un raport de cercetare detaliat, care analizeaza o campanie sustinuta de spionaj cibernetic, condusa de o organizatie de infractori cibernetici, cunoscuta sub numele de “Winnti”.

 Potrivit raportului Kaspersky Lab, gruparea Winnti a atacat mai multe companii din industria jocurilor online inca din 2009, fiind activa si in prezent. Obiectivele gruparii sunt de a fura certificate digitale cu semnaturi ale furnizorilor legitimi de software si proprietate intelectuala, inclusiv codul sursa al proiectelor pentru noi jocuri online.

Primul incident care a atras atentia asupra activitatilor rau intentionate ale gruparii Winnti a avut loc in toamna anului 2011, cand un Troian a fost detectat pe un numar mare de computere ale utilizatorilor finali din intreaga lume. Legatura evidenta intre computerele infectate era ca toate erau utilizate pentru a juca un joc online foarte popular. La scurt timp dupa incident, au fost descoperite informatii conform carora programul malware care infectase computerele utilizatorilor provenea dintr-un update obisnuit de pe serverul oficial al companiei de jocuri. Utilizatorii afectati si membrii comunitatii de jucatori online au suspectat compania de jocuri ca fiind responsabila pentru instalarea malware-ului, cu scopul de a-si spiona clientii. Insa, ulterior s-a dovedit ca programul malitios a fost instalat pe computerele jucatorilor in mod accidental, infractorii cibernetici vizand, de fapt, insasi compania de jocuri.

Ulterior, furnizorul de jocuri online, care detinea serverele de pe care s-a raspandit Troianul, a cerut ajutorul expertilor Kaspersky Lab ca sa analizeze programul malitios. Troianul s-a dovedit a fi o librarie (DLL) compilata special pentru un mediu Windows de 64-bit, care folosea un driver cu o semnatura digitala valida. Acesta era un instrument de administrare de la distanta (Remote Administration Tool) complet functional, care le oferea atacatorilor posibilitatea de a controla computerele victimelor fara ca acestia sa isi dea seama. Descoperirea a fost foarte importanta deoarece acest Troian a fost primul program malware descoperit pentru Microsoft Windows 7 pe 64 biti, care avea o semnatura digitala valida.

 Expertii Kaspersky Lab au inceput sa analizeze campania gruparii Winnti. In ultimul an au fost identificate peste 30 de companii din industria de jocuri online care au fost infectate de acesti infractori cibernetici, majoritatea dintre ele fiind companii dezvoltatoare de software, care produc jocuri video online in Asia de Sud-Est. Exista insa si companii de jocuri online din Germania, Statele Unite, Japonia, China, Rusia, Brazilia, Peru si Belarus care au fost, de asemenea, victime ale gruparii Winnti.

Pe langa spionajul industrial, expertii Kaspersky Lab au identificat trei scheme principale de monetizare care erau folosite de gruparea Winnti pentru a obtine profituri ilegale:

    • Manipulau sumele de bani virtuali obtinuti in timpul jocurilor, precum “rune” sau “aur”, folosite de jucatori, convertindu-i ulterior in bani reali.

  • Foloseau codul sursa furat de pe serverele jocurilor online pentru a descoperi vulnerabilitati in jocuri. Aceste erau folosite pentru a dezvolta si a accelera manipularea banilor virtuali si acumularea lor, fara a fi suspectati.
  • Foloseau codul sursa furat de pe serverele jocurilor online populare pentru a lansa propriile servere pirat.

In prezent, gruparea Winnti este inca activa, iar cercetarile Kaspersky Lab sunt in curs de desfasurare. Echipa de experti a companiei colaboreaza cu comunitatea de securitate IT, industria de jocuri online si autoritatile de certificare pentru a identifica alte servere infectate si retragand, in acelasi timp, certificatele digitale compromise.

Articolul despre cercetarea Kaspersky Lab si raportul complet despre campania gruparii Winnti, incusiv analiza tehnica in intregime a investigatiei, sunt disponibile pe Securelist.

Produsele Kaspersky Lab detecteaza si neutralizeaza aceste programe malware si alte versiuni ale lor, folosite de gruparea Winnti, fiind clasificate ca Backdoor.Win32.Winnti, Backdoor.Win64.Winnti, Rootkit.Win32.Winnti si Rootkit.Win64.Winnti.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

Leave a Reply