La organización ciberdelincuente ´Winnti´ compromete los sistemas de las compañías de juegos y roba propiedad intelectual y certificados digitales para uso malintencionado.
Campaña activa de ciberespionaje dirigida a compañías de juegos en línea en todo el mundo. El equipo de especialistas de Kaspersky Lab publicó hoy un informe de investigación detallado que analiza la campaña de ciberespionaje llevada a cabo por la organización ciberdelincuente conocida como “Winnti”.
Según el informe, el grupo Winnti ha estado atacando compañías en la industria de juegos en línea desde 2009 y actualmente sigue en actividad; sus objetivos son robar certificados digitales firmados por revendedores de software legítimos, además del hurto de propiedad intelectual, incluso de códigos fuente de proyectos de juegos en línea.
INICIOS DE ACTIVIDAD
El primer incidente que atrajo la atención a las actividades delictivas del grupo Winnti ocurrió en el segundo semestre de 2011, cuando se detectó un troyano malicioso en un gran número de computadoras de usuarios finales en todo el mundo. La clara conexión entre todas las computadoras infectadas es que en todas ellas se jugaba un popular juego en línea. Poco tiempo después del incidente, se descubrió que el programa malicioso que había infectado a esas computadoras era parte de una actualización regular del servidor oficial de la compañía de juegos.
Los usuarios infectados y miembros de la comunidad de jugadores sospecharon que la compañía de juegos estuviera instalando el malware para espiar a sus clientes. Sin embargo, más tarde se supo que el programa malicioso se había instalado en las computadoras de los jugadores por accidente y que los ciberdelincuentes en realidad estaban atacando a la misma compañía.
En respuesta, la compañía de juegos propietaria de los servidores que distribuyeron el troyano a sus usuarios le pidió a Kaspersky Lab que analizara el programa malicioso. El troyano resultó ser una biblioteca DLL recopilada para un ambiente Windows de 64 bits, usando un drive malicioso con una firma legítima. Era una herramienta de administración remota (Remote Administration Tool, RAT), que permite que los atacantes controlen una computadora sin que el usuario se dé cuenta. Fue un descubrimiento significativo, dado que ese troyano fue el primer programa malicioso en una versión de Microsoft Windows de 64 bits con una firma digital válida.
Los especialistas de Kaspersky Lab comenzaron a analizar la campaña del grupo Winnti y descubrieron que más de 30 compañías de la industria de video habían sido infectadas por el grupo, la mayor parte de ella compañías de desarrollo de software que producen videojuegos en línea en el Sudeste Asiático. No obstante, compañías de juegos en línea en Alemania, Estados Unidos, Japón, China, Rusia, Brasil, Perú y Bielorrusia también fueron víctimas del grupo Winnti.
Además del espionaje industrial, los especialistas de Kaspersky Lab identificaron tres grandes esquemas de monetización que podrían ser usados por el grupo Winnti para generar ingresos ilegales:
- Manipular la acumulación de monedas de juego, como “runas” u “oro”, que los jugadores utilizan para convertir dinero virtual en dinero real.
- Usar el código fuente robado de servidores de juegos en línea para buscar vulnerabilidades dentro de juegos para aumentar y acelerar la manipulación de la moneda de juego y su acumulación sin levantar sospechas.
- Usar el código fuente robado de servidores de populares juegos en línea para implementar sus propios servidores pirateados.
Actualmente, el grupo Winnti sigue en actividad y la investigación de Kaspersky Lab también continúa. El equipo de especialistas de la compañía ha trabajado afanosamente con la comunidad de seguridad de TI, la industria de juegos en línea y las autoridades de certificación para identificar otros servidores infectados mientras brindan asistencia en la anulación de los certificados digitales robados.
Para leer el informe completo de Kaspersky Lab sobre la campaña del grupo Winnti, incluyendo un análisis técnico completo de la investigación, visite:
http://www.securelist.com/en/analysis/204792287/Winnti_More_than_just_a_game
FUENTE: KASPERSKY LAB
-------------------------------------------
ENLINEAPUNTOCOM es un programa que se trasmite por RPP Noticias los sábados desde las 5:00 pm y los domingos a partir de las 10:00 pm con la conducción de Julio Santos, José Fuertes y la colaboración de Mario Chilo.
Comparte esta noticia