Η ομάδα των ειδικών της Kaspersky Lab δημοσίευσε μία λεπτομερή έκθεση έρευνας που αναλύει μία παρατεταμένη κατασκοπευτική εκστρατεία στον κυβερνοχώρο, η οποία πραγματοποιείται από την εγκληματική οργάνωση που είναι γνωστή ως “Winnti”.
Σύμφωνα με την έκθεση της Kaspersky Lab, η ομάδα Winnti επιτίθεται σε εταιρείες του κλάδου του online gaming από το 2009 μέχρι και σήμερα. Σκοπός της ομάδας είναι οι υποκλοπές ψηφιακών πιστοποιητικών που έχουν υπογραφεί από νόμιμους προμηθευτές λογισμικού σε συνδυασμό με την υποκλοπή πνευματικών δικαιωμάτων, συμπεριλαμβάνοντας τον πρωτογενή κώδικα (source code) από projects online παιχνιδιών.
Το πρώτο κρούσμα που έστρεψε την προσοχή στις κακόβουλες δραστηριότητες της ομάδας Winnti εμφανίστηκε το φθινόπωρο του 2011, όταν ένα κακόβουλο Trojan εντοπίστηκε σε ένα μεγάλο αριθμό τερματικών παγκοσμίως. Η σαφής σύνδεση ανάμεσα σε όλους τους μολυσμένους υπολογιστές είναι ότι οι χρήστες τους συνήθιζαν να παίζουν ένα δημοφιλές online παιχνίδι. Σύντομα μετά το κρούσμα, αναδύθηκαν λεπτομέρειες ότι το κακόβουλο πρόγραμμα που είχε μολύνει τους υπολογιστές των χρηστών, ήταν μέρος μίας τακτικής αναβάθμισης από τον επίσημο server της εταιρείας παιχνιδιών. Οι χρήστες που προσβλήθηκαν και μέλη της gaming κοινότητας υποψιάστηκαν ότι ο εκδότης του παιχνιδιού εγκαθιστούσε το κακόβουλο λογισμικό για να κατασκοπεύει τους πελάτες του. Παρ’ όλα αυτά, αργότερα έγινε ξεκάθαρο ότι το κακόβουλο πρόγραμμα εγκαταστάθηκε στον υπολογιστή του παίκτη τυχαία, και ότι οι εγκληματίες του κυβερνοχώρου στοχοποιούσαν στην πραγματικότητα την ίδια την εταιρεία ηλεκτρονικών παιχνιδιών.
Αντιδρώντας, ο εκδότης του ηλεκτρονικού παιχνιδιού που είχε στην κατοχή του τους servers που διέδωσαν το Trojan στους χρήστες του, ζήτησε από την Kaspersky Lab να αναλύσει το κακόβουλο πρόγραμμα. Το Trojan αποδείχθηκε τελικά μία βιβλιοθήκη DLL, για 64-bit περιβάλλοντα Windows, και χρησιμοποιούσε ένα ορθά υπογεγραμμένο κακόβουλο drive. Επρόκειτο για ένα πλήρως λειτουργικό Remote Administration Tool (RAT), το οποίο δίνει στους επιτιθέμενους τη δυνατότητα να ελέγχουν τον υπολογιστή του θύματος εν αγνοία του. Το πόρισμα ήταν σημαντικό, καθώς το συγκεκριμένο Trojan ήταν το πρώτο κακόβουλο πρόγραμμα σε μία 64-bit έκδοση των Windows που είχε έγκυρη ψηφιακή υπογραφή.
Οι ειδικοί της Kaspersky Lab ξεκίνησαν να αναλύουν την εκστρατεία της ομάδας Winnti και ανακάλυψαν πως περισσότερες από 30 εταιρείες της βιομηχανίας ηλεκτρονικών παιχνιδιών είχαν προσβληθεί από την Winnti, με την πλειοψηφία να αποτελείται από εταιρείες ανάπτυξης λογισμικού που παράγουν online ηλεκτρονικά παιχνίδια στη Νοτιοανατολική Ασία. Παρά ταύτα, εταιρείες online gaming που εδρεύουν σε Γερμανία, Ηνωμένες Πολιτείες, Ιαπωνία, Κίνα, Ρωσία, Βραζιλία, Περού και Λευκορωσία, επίσης αναγνωρίστηκαν ως θύματα της ομάδας Winnti.
Πέρα από τη βιομηχανική κατασκοπεία, οι ειδικοί της Kaspersky Lab έχουν εντοπίσει τρία βασικά σχέδια κερδοφορίας που θα μπορούσαν να χρησιμοποιηθούν από την Winnti για παράνομο κέρδος:
Ο έλεγχος της συσσώρευσης χρήματος μέσα στο παιχνίδι, όπως τα «runes» ή το «gold», που χρησιμοποιείται από τους παίκτες για την μετατροπή ψηφιακού χρήματος σε πραγματικό.
Η χρήση κλεμμένου πρωτογενούς κώδικα από servers online παιχνιδιών για την αναζήτηση ευπαθειών μέσα στα παιχνίδια, και για την αύξηση και επιτάχυνση του ελέγχου του ψηφιακού χρήματος και της συσσώρευσής του χωρίς υποψίες.
Η χρήση κλεμμένου πρωτογενούς κώδικα από servers δημοφιλών online παιχνιδιών για την ανάπτυξη των δικών τους πειρατικών servers.
Αυτή τη στιγμή, η ομάδα Winnti είναι ακόμα δραστήρια και η έρευνα της Kaspersky Lab είναι διαρκής. Η ομάδα ειδικών της εταιρείας εργάζεται επιμελώς με την κοινότητα της ασφάλειας του ΙΤ, με τη βιομηχανία του online gaming και τις αρχές πιστοποίησης, με σκοπό να εντοπίσει επιπρόσθετους μολυσμένους servers, και ταυτόχρονα να βοηθήσει στην ανάκληση των κλεμμένων ψηφιακών πιστοποιητικών.
