Лаборатория Касперского раскрыла серию целевых атак на игровые компании
АЛМАТЫ. 12 апреля. КАЗИНФОРМ - Хакерская группа Winnti уже несколько лет тайком наживается с помощью целевых атак на производителей и издателей компьютерных онлайн-игр.
Такой вывод сделали аналитики Лаборатории Касперского после детального исследования вредоносного программного обеспечения (ПО), обнаруженного в игровых компаниях. О его результатах и возможной схеме монетизации данных рассказывают антивирусные эксперты Лаборатории Касперского в исследовании «Winnti. Это вам не игрушки».
Так, осенью 2011 года на компьютеры огромного количества игроков одной из популярных онлайн-игр вместе с обновлениями игры попал «троянец». Но, как выяснилось, настоящей мишенью злоумышленников были не игроки, а компании, занимающиеся разработкой и издательством компьютерных игр. Игровая компания, с серверов которой распространился вирус, обратилась к Лаборатории Касперского с просьбой проанализировать вредоносную программу, которую сотрудники компании нашли на сервере обновлений. Обнаруженное вредоносное ПО обладало функционалом бэкдора, который скрытно от пользователя предоставлял возможность управлять зараженным компьютером.
В ходе исследования выяснилось, что подобное вредоносное ПО уже детектировалось ранее и значится в коллекции Лаборатории Касперского. Семейство таких зловредов известно под названием Winnti. Соответственно, людей, стоящих за атаками с использованием этого средства удаленного управления, также стали называть «группа Winnti».
Подробный анализ образцов Winnti позволил выявить несколько ключевых фактов об атаках. За время существования Winnti не менее 35 компаний были когда-либо заражены этой группой злоумышленников, и действует она уже давно - как минимум с 2009 года. Географию распространения зловреда также можно считать глобальной: атакованные компании расположены по всему миру - в Германии, США, Японии, Китае, России и многих других странах. Однако у группы Winnti наблюдается «тяга» к странам Восточной Азии: количество обнаруженных угроз там выше. Кроме того, было выяснено, что за организацией киберпреступлений стоят хакеры китайского происхождения, а фирменным стилем этой группы стала кража сертификатов у атакованных компаний и последующее их использование для новых атак.
Итоги исследования наглядно показали, что атакам такого рода может быть подвержена любая организация, данные которой можно эффективно монетизировать. Эксперты Лаборатории Касперского выделили три основные схемы монетизации кампании Winnti. Это - нечестное накопление игровой валюты/«золота» в онлайн-играх и перевод виртуальных средств в реальные деньги; кража исходников серверной части онлайн-игр для поиска уязвимостей в играх, что может привести к описанному выше методу нечестного обогащения; кража исходников серверной части популярных онлайн-игр для последующего развертывания пиратских серверов.
«Наше исследование выявило длительную широкомасштабную кампанию кибершпионажа со стороны криминальной группы, имеющей китайское происхождение. Основная цель - кража исходных кодов игровых проектов компаний и цифровых сертификатов. Кроме того, злоумышленников интересовали данные об организации сетевых ресурсов, включая игровые серверы, и новых разработках: концептах, дизайне и т.п. В ходе расследования нам удалось предотвратить передачу данных на сервер злоумышленников и изолировать зараженные системы в локальной сети компании», - сообщил один из авторов отчета антивирусный эксперт ТОО «Лаборатория Касперского» Виталий Камлюк.
