Специалисты «Лаборатории Касперского» сообщили об обнаружении группы хакеров, которые с 2009 года организовывали атаки на создателей онлайн-игр.
Деятельность злоумышленников была впервые зафиксирована в 2011 году, когда ПК игроков одной из популярных онлайн-игр были атакованы троянской программой, которая проникла в систему при установке обновления клиента. Изначально злоумышленники атаковали не игроков, а компании, которые занимались разработкой игровых приложений.
Троянское приложение, которое обладало функционалом бэкдора (управляла работой системы втайне от пользователя), специалисты назвали Winnti, а его авторов – «группой Winnti».
В компании выделили три основные схемы получения прибыли с Winnti. Прежде всего, это наращивание игровой валюты в играх с дальнейшим выводом. Вирус также использовался для кражи исходных кодов онлайн-игр (серверной части) для поиска критических уязвимостей в игре, а также для получения исходников серверной части онлайн-игры для дальнейшего развертывания на нелегальных серверах.
Эксперты также обращают внимание на отличительную особенность Winnti – злоумышленники похищают у игровых корпораций легальные сертификаты и задействуют их во внеигровом пространстве.
Например, атака на социальные сети Cyworld и Nate осуществлялась при помощи троянского приложения, которое обладало цифровой подписью YNK Japan Inc. (японская игровая корпорация), и этот же сертификат был замечен при атаках на тибетских активистов.
Специалисты не публикуют названия компаний, которые пострадали от группы Winnti, поскольку они являются их клиентами. При этом эксперты отмечают, что атаке подверглись не менее 35 игровых компаний. Началом деятельности хакерской группы считается 2009 год, однако ряд доменов, которые используются для управляющих серверов, зарегистрированы еще в 2007 году.
Авторы отчета сообщили, что они обнаружили причастность к деятельности Winnti хакеров из Китая, чьей фирменной «фишкой» стала кража подлинных сертификатов у компаний и дальнейшее их использование при организации новых атак.
