Die cyberkriminelle Organisation “Winnti” manipuliert die Systeme von Online-Spieleherstellern und stiehlt geistiges Eigentum sowie digitale Zertifikate
Ein Expertenteam von Kaspersky Lab hat heute einen ausführlichen Bericht veröffentlicht, der die aktive Cyberspionage-Kampagne der cyberkriminellen Organisation namens „Winnti“ analysiert [1].
Laut den Erkenntnissen von Kaspersky Lab greifen die Cyberkriminellen der Winnti-Gruppe seit 2009 Unternehmen in der Online-Spieleindustrie an. Die Gruppe stiehlt signierte digitale Zertifikate sowie geistiges Eigentum, etwa auch die Quellcodes von Online-Spieleprojekten.
Trojaner per Spiel-Update
Der erste Vorfall, der die Aufmerksamkeit auf die böswilligen Aktivitäten der Winnti-Gruppe lenkte, ereignete sich im Herbst 2011, als ein Trojaner auf einer Vielzahl von Heimcomputern auf der ganzen Welt entdeckt wurde. Die Gemeinsamkeit zwischen den infizierten Computern war, dass sie für ein beliebtes Online-Spiel benutzt wurden. Kurz nach dem Zwischenfall wurden Details bekannt, wonach das schadhafte Programm über ein reguläres Update vom offiziellen Server des Spiele-Publishers auf die Computer der Spielefans gelangte. Zunächst wurde der Publisher selbst verdächtigt, seine Kunden auszuspionieren. Später wurde jedoch klar, dass Cyberkriminelle das Schadprogramm eingeschleust und es eigentlich auf das Spieleunternehmen selbst abgesehen hatten.
Experten von Kaspersky Lab um Hilfe gebeten
Daraufhin bat das betroffene Unternehmen Kaspersky Lab, das Schadprogramm zu analysieren. Es stellte sich heraus, dass der Trojaner sich als eine für die Windows 64-Bit-Architektur konzipierte Programmbibliothek (DLL-Datei) tarnte und den Angreifern ein voll funktionsfähiges Remote Administration Tool (RAT) zur Verfügung stellte. Damit war die Kontrolle des Computers ohne Wissen des Besitzers möglich. Neu an dem Trojaner war die Tatsache, dass es das erste bösartige Programm auf einer 64-Bit-Windows Plattform mit gültiger digitaler Signatur ist. Die Experten von Kaspersky Lab fanden zudem heraus, dass mehr als 30 Unternehmen in der Spieleindustrie durch die Winnti-Gruppe infiziert wurden. Die Mehrheit der Online-Spieleentwickler ist in Südostasien angesiedelt. Doch auch Online-Spielepublisher mit Sitz in Deutschland, den Vereinigten Staaten, Japan, China, Russland, Brasilien, Peru und Weißrussland sind betroffen.
Cyberkriminelle stehlen Quellcode
Neben Industriespionage hat Kaspersky Lab drei Szenarien identifiziert, die die Winnti-Gruppe nutzen könnte, um illegalen Profit zu erzielen:
- Manipulation von Spiel-Währungen, wie zum Beispiel “Runen” oder “Gold”, die von Spielern dazu verwendet werden, virtuelles Geld in echtes Geld zu tauschen
- Verwendung von gestohlen Quellcodes von Online-Spiele-Servern, um nach Schwachstellen innerhalb der Spiele zu suchen sowie die Manipulation der Spiel-Währung zu beschleunigen und sie unbemerkt anzusammeln
- Verwendung von gestohlenen Quellcodes von Servern beliebter Online-Spiele, um eigene, illegale Server einzurichten.
Derzeit ist die Winnti-Gruppe immer noch aktiv und die Untersuchungen von Kaspersky Lab sind im Gange. Das Expertenteam des Unternehmens arbeitet unablässig mit der IT-Security-Community, der Online-Gaming Industrie und den Zertifizierungsstellen (CA) zusammen, um weitere infizierte Server auszumachen. Währenddessen unterstützt Kaspersky Lab betroffene Unternehmen beim Widerruf der gestohlenen Zertifikate.
Die vollständige technische Analyse von Kaspersky Lab über die Winnti-Gruppe findet sich auf Securelist [1].
Produkte von Kaspersky Lab entdecken und entfernen die schadhaften Programme und deren Varianten, die von der Winnti-Gruppe verwendet werden. Sie haben die folgenden Bezeichnungen: Backdoor.Win32.Winnti, Backdoor.Win64.Winnti, Rootkit.Win32.Winnti und Rootkit.Win64.Winnti.
[1] http://www.securelist.com/en/analysis/204792287/Winnti_More_than_just_a_game