Kompanija Kaspersky Lab otkriva detalje aktivne kampanje sajber špijunaže koja za metu ima kompanije koje nude online igrice širom sveta

Kriminalistička sajber organizacija „Winnti” ugrožava sisteme kompanija za kompjuterske igrice, krade intelektualnu svojinu i digitalne sertifikate radi zlonamerne primene

 

Tim kompanije Kaspersky Lab objavio je detaljan izveštaj istraživanja kampanje sajber špijunaže koju su vršili sajber-kriminalci organizacije poznate kao „Winnti”

 

Prema izveštaju kompanije Kaspersky Lab, grupa Winnti napadala je kompanije u okviru industrije online igrica još od 2009. godine i ti napadi i dalje traju. Ciljevi grupe su krađa digitalnih sertifikata kreiranih od strane legitimnih prodavaca softvera, kao i krađa intelektualne svojine, uključujući izvorni kod projekata online igrica.

 

Prvi incident koji je privukao pažnju na zlonamerne aktivnosti Winnti grupe desio se tokom jeseni 2011. godine, kada je maliciozni trojanac detektovan na velikom broju korisničkih računara širom sveta. Ono što je zajedničko svim zaraženim računarima jeste da su korišćeni za igranje popularnih online igrica. Ubrzo nakon incidenta, detalji su otkrili da je maliciozni program koji je zarazio računare korisnika zapravo došao kao deo regularne instalacije nove verzije igre koju šalje oficijalni server kompanije kojoj igrica pripada. Zaraženi korisnici i članovi udruženja online igrača posumnjali su da su kompanije instalirale virus kako bi špijunirali svoje korisnike. Međutim, kasnije je razjašnjeno da su zlonamerni program slučajno instalirani na kompjuterima korisnika i da su zapravo sajber-kriminalci imali za metu upravo kompaniju za kompjuterske igrice.

Kao odgovor,prodavci kopjuterskih igrica, u čijem su vlasništvu serveri koji su prenosili virus Trojan svojim korisnicima, zamolili su kompaniju Kaspersky lab da analizira zlonamerni program. Ispostavilo se da je ovaj trojanaca DLL library datoteka namenjena 64-bitnom Windows okruženju i da je koristila odgovarajuće originalne zlonamerne drajvove. Bila je to u potpunosti funkcionalna alatka Administration Tool (Rat), koja je omogućavala napadačima da kontrolišu kompjuter žrtvi bez njihovog znanja. Najznačajnije otrkiće je da je ovaj trojanac prvi zlonamerni program na 64-bitnoj verziji Microsoft Windows 7 koji poseduje validni digitalni potpis (digital signature).

 

Stručnjaci kompanije Kaspersky počeli su da analiziraju kampanju Winnti grupe i zaključili su da je više od 30 kompanija u okviru industrije za online igrice bilo zaraženo od strane Winnti grupe, s tim da su većina njih bile kompanije za softverski razvoj koje proizvode online igrice u Jugoistočnoj Aziji. Međutim, kompanije koje proizvode online igrice u Nemačkoj, Sjedinjenim Američkim Državama, Japanu, Kini, Rusiji, Brazilu, Peruu i Belorusiji su takođe bile žrtve Winnti grupe.

Pored industrijske špijunaže, stručnjaci kompanije Kaspersky Lab identifikovali su tri kljulčne monetizacijske šeme koje bi mogla da koristi Winnti grupa kako bi ostvarila ilegalan profit:

 

  • Akumulacija sredstava plaćanja u okviru igrice manipulacijom,  kao što su “rune” ili “zlatnici” koje igrači koriste, i pretvaranje akumuliranog virtuelnog novca u pravi novac.
  • Korišćenje ukradenih izvornih šifri sa servera popularnih online igrica kako bi se pronašle ranjivosti u igrici i uvećali i ubrzali akumulaciju sredstava plaćanja, ne izazivajući sumnju;
  • Korišćenje ukradenih izvornih šifri sa servera popularnih online igrica za rad svojih piratskih server

 

Winnti grupa je i dalje aktivna, a istraživanje kompanije Kaspersky Lab i dalje traje. Tim stručnjaka kompanije posvećeno sarađuje sa IT security zajednicom, gejmerskom industrijom i nadležnim vlastima kako bi identifikovali zaražene servere, dok pomažu da se vrate ukradeni digitalni sertifikati.

Da biste pročitali rezultate istraživanja kompanije Kaspersky Lab i za potpun izveštaj o kampanji Winnti grupe, uključujući kompletne tehničke analize istraživanja, molimo posetite Securelist stranicu.

 

Proizvodi kompanije Kasperskz Lab otkrivaju i neutrališu maliciozne fajlove, programe i njihove varijante koje koristi Winnti grupa, kao što su Backdoor.Win32.Winnti, Backdoor.Win64.Winnti, Rootkit.Win32.Winnti and Rootkit.Win64.Winnti.