Kineska hakerska grupa Winnti godinama napadala proizvođače online igrica

Vesti, 12.04.2013, 08:06 AM

Istraga Kaspersky Lab-a o napadima na kompanije, proizvođače igrica širom sveta koja je započela u jesen 2011. godine dovela je istraživače kompanije do kriminalne hakerske grupe koja je nazvana Winnti i koja deluje iz Kine.

Dokazi do kojih se došlo tokom istrage ukazuju da je grupa aktivna nekoliko godina i specijalizovana za sajber napade koji su usmereni protiv proizvođača online igrica. Po svemu sudeći, glavni cilj grupe je krađa koda online igrica kao i digitalnih sertifikata proizvođača softvera.

Kaspersky Lab nije prva kompanija koja je istraživala napade ove grupe. Nešto ranije, 2010. godine, američka kompanija HBGary takođe je istraživala incident koji se dovodio u vezu sa istom kriminalnom grupom, koja je napala jednu američku kompaniju, proizvođača video igrica, koja je bila klijent kompanije HBGary.

Grupa Winnti je počev od 2009. godine napala više od 30 kompanija, proizvođača igrica, prvenstveno onih iz jugoistočne Azije.

Kaspersky Lab je prateći aktivnosti grupe od 2011. godine otkrio maliciozni DLL koji se ponaša kao rootkit koji inficira 64-bitne verzije Windows-a i koji ima legitimni digitalni sertifikat. Payload je bio Plug X RAT, koji je omogućavao napadačima kontrolu nad zaraženim računarima. Plug X RAT je takođe korišćen u napadima na tibetanske i ujgurske aktiviste.

Do otkrića grupe je došlo slučajno. Jedan od izdavača MMRPG igrica (Massively Multiplayer Role Games), kompanija KOG, angažovala je kompaniju Kaspersky Lab da istraži slučaj velikog broja zaraženih računara igrača. Računari su bili zaraženi Trojancem koji je povezan sa jednom igricom koju proizvodi ta kompanija. Istraga je pokazala da su infekcije bile koletaralna šteta, i da mete napadača nisu bili igrači već kompanija.

U Kaspersky Lab-u veruju da su napadi započinjali spear fišing emailovima koje su napadači slali na adrese kompanija, i koji su sadržali maliciozne PDF priloge kojima su napadane ranjivosti u Adobe Reader-u.

Da bi uhvatili napadače na delu, istraživači Kaspersky Lab-a su postavili zamku, dopuštajući namerno infekciju sistema. Zamka je podrazumevala postavljanje niza sistema tako da izgleda da se radi o mreži kompanije koja je proizvođač igrica, a zatim posmatrali napadače kako pristupaju sistemu tragajući za potencijalno vrednim kodom.

Istraživači veruju da su kriminalci tako napadali brojne proizvođače online igrica, računajući na loše branjene sisteme koji se mogu lako kompromitovati tako da im omoguće lak pristup vrednijim uređajima koji su povezani na mrežu.

U Kaspersky Lab-u smatraju da grupa nije gubila vreme na mete čiju bi odbranu bilo teško savladati. Umesto toga, kriminalci su nastojali da zarade što više od firmi koje su uložile manje u svoju zaštitu.

Stručnjaci Kaspersky Lab-a kažu da je grupa i dalje aktivna i da kompanija sarađuje sa sertifikacionim telima i proizvođačima igrica na otkrivanju kompromitovanih servera i opozivanju ukradenih digialnih sertifikata.

Neki od ukradenih sertifikata nisu korišćeni samo u napadima na proizvođače igrica već i u napadima na tibetanske i ujgurske aktiviste.

U Kaspersky Lab-u nisu sigurni da li grupa sarađuje sa drugim kineskim kriminalnim hakerskim grupama ili prodaje ukradene sertifikate na crnom tržištu u Kini.

Pored proizvođača igrica iz Azije, Kaspersky Lab je otkrio da je infekcija bilo i u nekoliko kompanija u Evropi, Južnoj Americi i SAD.

Više detalja o ovome možete naći na blogu Kaspersky Lab-a, Securelist.