Експерти досліджували активність "групи Winnti"

Хакерська група Winnti вже кілька років потайки наживається за допомогою цільових атак на виробників і видавців комп'ютерних онлайн ігор. До такого висновку прийшли аналітики «Лабораторії Касперського» в ході детального дослідження шкідливого ПО, виявленого в ігрових компаніях. Про його результати і можливої схемою монетизації даних розповідають антивірусні експерти «Лабораторії Касперського» у дослідженні «Winnti. Це вам не іграшки».

Країни, у яких виявлені постраждалі ігрові компанії

Восени 2011-го року на комп'ютери величезної кількості гравців однієї з популярних онлайн ігор разом з оновленнями ігри потрапив троян. Але, як з'ясувалося згодом, справжньою мішенню зловмисників були не гравці, а компанії, що займаються розробкою і видавництвом комп'ютерних ігор. Ігрова компанія, з серверів якої поширився троян, звернулася до «Лабораторії Касперського» з проханням проаналізувати шкідливу програму, яку співробітники компанії виявили на сервері оновлень. Виявлене шкідливе пз володіло функціоналом бекдор, що потай від користувача надавав можливість зловмисникам керувати зараженим комп'ютером.

В ході дослідження було виявлено, що подібне шкідливе пз вже детектировалось раніше і значиться в колекції «Лабораторії Касперського». Тепер сімейство таких зловредів відомо під назвою Winnti. Відповідно, людей, які стоять за атаками з використанням цього засоби віддаленого управління, також стали називати «група Winnti».

Докладний аналіз зразків Winnti дозволив виявити кілька ключових фактів про атаки. За час існування Winnti не менше 35 компаній коли-або заражені цією групою зловмисників, і діє ця група вже досить давно - як мінімум з 2009-го року. Географію розповсюдження зловредів також можна вважати глобальної: атаковані компанії розташовані по всьому світу - в Німеччині, США, Японії, Китаї, Росії та багатьох інших країнах. Однак у групи Winnti спостерігається тяжіння до країн Східної Азії: кількість виявлених загроз там вище. Крім того, в ході дослідження було з'ясовано, що за організацією кіберзлочинів стоять хакери китайського походження, а фірмовим стилем цієї групи стала крадіжка сертифікатів у атакованих компаній і подальше їх використання для нових атак.

Результати дослідження наочно продемонстрували, що атакам такого роду може бути піддана будь-яка організація, дані якої можна ефективно монетизувати. Експерти «Лабораторії Касперського» виділили 3 основні схеми монетизації кампанії Winnti:

- нечесне накопичення ігрової валюти/«золота» в онлайн іграх і переклад віртуальних коштів у реальні гроші;

- крадіжка пакети серверної частини онлайн ігор для пошуку вразливостей в іграх, що може призвести до описаного вище методом нечесного збагачення;

- крадіжка пакети серверної частини популярних онлайн ігор для подальшого розгортання піратських серверів.

«Наше дослідження виявило тривалу широкомасштабну кампанію кибершпионажа з боку кримінальної групи, що має китайське походження. Основною метою атакуючих стала крадіжка вихідних кодів ігрових проектів компаній і цифрових сертифікатів. Крім того, зловмисників цікавили дані про організації мережевих ресурсів, включаючи ігрові сервери, і нових розробках: концептах, дизайні і т.п., - зазначає один з авторів звіту антивірусний експерт «Лабораторії Касперського» Віталій Камлюк. - В ході розслідування нам вдалося запобігти передачі даних на сервер зловмисників і ізолювати заражені системи в локальній мережі компанії».