Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
12/04/2013
Winnti, o el ciberespionaje contra jugadors online
Kaspersky Lab ha comunicat l’existència d’una campanya de ciberespionatge dirigida a companyies de videojocs en línia que busca acumular diners o “or” virtual en els jocs amb la intenció de convertir-lo en diners reals posteriorment.
Kaspersky Lab ha denunciat l’existència de Winnti, una campanya de ciberespionatge dirigida a companyies de videojocs en línia. Segons l’informe firmat pels experts de la firma russa, el grup Winnti ha estat atacant empreses de la indústria del joc en línia des de 2009 i actualment seguix en actiu. Els objectius del grup són l’adquisició de certificats digitals firmats pels proveïdors de programari, a més del robatori de propietat intel·lectual, incloent-hi el codi font dels projectes dels jocs en línia.
Tal com informen des de Kaspersky Lab, després d’un incident de seguretat en la tardor de 2011, en què tots els usuaris infectats jugaven a un popular joc en línia, es va comprovar que el programa maliciós que havia infectat els ordinadors dels usuaris formava part d’una actualització periòdica del servidor oficial d’una certa companyia de videojocs, si bé s’ha descobert que el programa maliciós es va instal·lar per error en els equips dels usuaris i que l’atac en realitat anava dirigit a la companyia de videojocs.
En concret, es tractava d’una biblioteca DLL compilada per a les versions de 64 bits de Windows. Esta biblioteca maliciosa afectava els equips dels jugadors que usaven tant la versió de 32 bits, com la de 64 bits del sistema operatiu. La biblioteca esmentada era una ferramenta d’administració remota totalment funcional (RAT), que dóna als atacants la capacitat de controlar l’ordinador de la víctima sense el coneixement de l’usuari.
Després d’analitzar-ho, els experts de Kaspersky Lab han arribat a la conclusió que l’objectiu de l’atac eren 30 empreses de la indústria del joc en línia que havien sigut infectades pel grup Winnti, i la majoria eren empreses de desenrotllament de programari que produïxen jocs en línia en el sud-est d’Àsia, si bé altres ubicades a Alemanya, els Estats Units, Japó, Xina, Rússia, Brasil, Perú i Bielorússia també es van identificar com a víctimes del grup.
Però, com convertien este atac en diners? Segons els experts en el seu informe, les formes de convertir en benefici l’atac passaven per manipular l’acumulació de moneda en el joc per a convertir els diners virtual en diners real; usar el codi font robat dels servidors dels jocs en línia en busca de vulnerabilitats per a augmentar i accelerar la manipulació de la moneda virtual i la seua acumulació sense alçar sospites i usar el codi font robat dels servidors a fi d’implementar els seus servidors pirates.