Спецпроекты

Безопасность Стратегия безопасности Интернет Веб-сервисы

Раскрыта кибергруппировка, атакующая онлайн-игры по всему миру

По данным «Лаборатории Касперского», группировка Winnti с 2009 г. ведет атаки на сервера онлайн-игр с целью перепродажи игровой валюты и легальных сертификатов.

«Лаборатория Касперского» обнаружила хакерскую группировку, как минимум с 2009 г. занятую атакой на производителей и издателей онлайн-игр.

Следы злоумышленнников были обнаружены «Касперским» в 2011 г., когда ПК большого количества игроков популярной онлайн-игры были заражены трояном, попавшим в систему вместе с обновлениями клиента.

Как сообщают эксперты «Касперского», изначальной мишенью злоумышленников были не игроки, а компании - разработчики компьютерных игр.

Этот уже известный троян, обладающий функциональностью бэкдора (программы, управляющей работой ОС втайне от владельца компьютера) был получил имя Winnti, а его создатели - «группа Winnti».

В «Касперском» говорят о трех схемах монетизации Winnti. Это нечестное накопление игровой валюты в онлайн-играх с последующей конверсией виртуальных денег в реальные, кража исходных кодов серверной части онлайн-игр для поиска уязвимостей в играх, и, наконец, похищение исходников серверной части игр для их развертывания на пиратских серверах.


География распространения Winnti

Одновременно эксперты указывают на фирменный почерк Winnti: похищение у игровых компаний легальных сертификатов и их использование во внеигровом пространстве.

Так, при атаке южнокорейских соцсетей Cyworld и Nate был использован троян с подписью японской игровой компании YNK Japan Inc., и ее же сертификат применялся в кибератаках тибетских и уйгурских активистов в 2013 г.

В «Касперском» не называют поименно провайдеров онлайн-игр, пострадавших от действий группы Winnti, ссылаясь на их клиентский статус в отношении компании. Вместе с тем эксперты «Лаборатории» говорят, что за время существования Winnti ею были атакованы не менее 35 компаний. О начале работы группировки эксперты говорят как о 2009 г., но замечают, что некоторые домены, на которых расположены их управляющие сервера, зарегистрированы в 2007 г.

На карте географии распространения Winnti видно, что среди пострадавших компаний одна находится в Белоруссии, где базируется разработчик известной игры World of Tanks. Помимо Белоруссии активность Winnti отмечена в России, Германии, Китае, США, Японии и других странах.

Однако, как отмечают эксперты, у авторов Winnti наблюдается тяготение к странам Восточной Азии, где число обнаруженных угроз выше, чем в иных регионах. В Восточной Азии пораженными оказались компании из 10 стран.

Авторы отчета заявляют, что им удалось выяснить причастность к атакам Winnti хакеров китайского происхождения, чьим фирменным стилем стала кража сертификатов у атакованных компаний и последующее их использование для новых атак, сообщили в «Лаборатории Касперского».

Владислав Мещеряков

Короткая ссылка