A Kaspersky Lab analisa uma campanha ativa de espionagem digital

kas A equipe de especialistas da Kaspersky Lab publicou uma descrição detalhada Um relatório de pesquisa analisando uma prolongada campanha de espionagem cibernética por uma organização criminosa conhecida como Winnti.

De acordo com o relatório da Kaspersky Lab, a equipe Winnti vem atacando empresas da indústria de jogos online de 2009 até hoje. O objetivo do grupo é espionar certificados digitais <…>

assinado por fornecedores legais de software em conjunto com roubo de direitos autorais, incluindo o código-fonte de projetos de jogos online.

O primeiro caso que chamou a atenção para as atividades maliciosas do grupo Winnti apareceu no outono de 2011, quando um Trojan malicioso foi detectado em um grande número de terminais em todo o mundo.

A conexão clara entre todos os computadores infectados é que seus usuários costumavam jogar um jogo online popular. Logo após o incidente, surgiram detalhes de que o programa malicioso que havia infectado os computadores dos usuários fazia parte de uma atualização regular do servidor oficial de jogos da empresa. software para espionar seus clientes. No entanto, mais tarde ficou claro que o programa malicioso foi instalado no computador do jogador por acidente e que os cibercriminosos estavam realmente mirando a própria empresa de jogos.

A Reacting, a editora do jogo eletrônico que possuía os servidores que distribuíam o Trojan para seus usuários, pediu à Kaspersky Lab para analisar o programa malicioso.

O Trojan acabou se tornando uma biblioteca DLL para ambientes Windows de 64 bits e usou uma unidade maliciosa assinada corretamente. Era uma RAT (Ferramenta de Administração Remota) totalmente funcional, que permite que os invasores controlem o computador da vítima sem o seu conhecimento. O resultado foi significativo, pois esse Trojan em particular foi o primeiro programa malicioso em uma versão de 64 bits do Windows a ter uma assinatura digital válida.

Os especialistas da Kaspersky Lab começaram a analisar a campanha da Winnti e descobriram que mais de 30 empresas da indústria de jogos foram afetadas pela Winnti, sendo a maioria empresas de desenvolvimento de software que produzem jogos eletrônicos online no sudeste da Ásia. No entanto, empresas de jogos online com sede na Alemanha, Estados Unidos, Japão, China, Rússia, Brasil, Peru e Bielorrússia também foram identificadas como vítimas do grupo Winnti.

Além da espionagem industrial, os especialistas da Kaspersky Lab identificaram três principais esquemas de lucratividade que poderiam ser usados ​​pelo Winnti para obter lucro ilegal:

– Controlar a acumulação de dinheiro no jogo, como “runas” ou “ouro”, usado pelos jogadores para converter dinheiro digital em dinheiro real. -O uso do código primário roubado pelos servidores de jogos on-line para procurar vulnerabilidades nos jogos e aumentar e acelerar o controle do dinheiro digital e seu acúmulo sem suspeitas. -O uso de código primário roubado por servidores de jogos online populares para desenvolver seus próprios servidores piratas.

Atualmente, a equipe Winnti ainda está ativa e a pesquisa da Kaspersky Lab está em andamento. A equipe de especialistas da empresa está trabalhando diligentemente com a comunidade de segurança de TI, a indústria de jogos on-line e as autoridades de certificação para identificar servidores infectados adicionais, ajudando a recuperar os certificados digitais roubados.

O relatório completo da Kaspersky Lab sobre a campanha Winnti, que inclui uma análise técnica completa da pesquisa, está disponível na Securelist.

Os produtos da Kaspersky Lab identificam e neutralizam programas maliciosos e suas variantes usadas pela equipe Winnti, categorizando Backdoor.Win32.Winnti, Backdoor.Win64.Winnti, Rootkit.Win32.Winnti e Rootkit.Win64.Winnti.

Fonte: pcnea.blogspot.gr