Winnti: ataques cibernéticos contra la industria de videojuegos online
La presente investigación empezó en otoño de 2011 y todavía continúa. El tema de la investigación es una serie de ataques selectivos contra compañías privadas en todo el mundo.
Durante la investigación hemos desenmascarado la actividad de un grupo de hackers de origen chino. El grupo se llama Winnti.
Según nuestras estimaciones, este grupo ha estado activo por varios años y se especializa en ataques cibernéticos contra la industria de videojuegos online. El principal objetivo de este grupo es robar códigos fuente de proyectos de juegos online y de certificados digitales de compañías productoras de software. Además, ha manifestado un profundo interés en la infraestructura de red (incluyendo servidores de producción de juegos) y novedades como ideas y diseños conceptuales.
Nuestra compañía no es la primera que se ha concentrado en este grupo e investigado los ataques de los que son responsables. Se sabe que en 2010 la compañía norteamericana HBGary investigó un incidente de seguridad informática ocurrido con uno de sus clientes y relacionado con el grupo Winnti.
La compañía productora de videojuegos desde cuyos servidores se propagaba el troyano nos pidió que analizáramos la muestra que sus empleados habían descubierto en el servidor de actualizaciones. Resultó que era una biblioteca DLL compilada para las versiones de 64 bits de Windows. Y lo sorprendente es que contenía un driver malicioso con una firma válida.
El módulo malicioso es el primer troyano para la versión de 64 bit de Microsoft Windows con una firma digital válida de que tenemos noticia. Habíamos visto casos similares antes, pero en todos los incidentes previos el abuso de firmas digitales afectaba sólo a las aplicaciones de 32 bits.
La biblioteca maliciosa afectaba a los equipos de los jugadores que usaban tanto la versión de 32 bits, como la de 64 bits del sistema operativo. La biblioteca no podía ejecutarse en los sistemas de 32 bits. En los sistemas de 64 bits este malware podría, en determinadas circunstancias, ejecutarse sin que el usuario se diese cuenta. Sin embargo, nosotros no detectamos estas ejecuciones casuales.
La biblioteca DLL descubierta tenía funciones de backdoor, para ser más precisos se trataba de una RAT (Remote Administration Tool: herramienta de administración remota) completa, que daba a los delincuentes la posibilidad de administrar el equipo infectado sin que el usuario se entere.
Ya al principio de la investigación encontramos en nuestra colección un grupo entero de estos backdoors -de 32 y 64 bits- que se detectaban con diversos veredictos y los reunimos en una familia aparte. Todo parece indicar que la compañía Symantec fue la primera en bautizarlos, dándoles el nombre de Winnti. Nosotros conservamos este nombre en la denominación de la nueva familia, Backdoor. Win32(Win64). Winnti. Y llamamos "grupo Winnti" a la gente responsable de los ataques mediante la herramienta de control remoto.
Resulta interesante que la firma digital pertenecía a otro productor de videojuegos, una compañía privada surcoreana conocida como KOG. El principal negocio de esta compañía son los juegos MMRPG, la misma área de negocios de la primera víctima.
Nos pusimos en contacto con KOG, con cuyo certificado se había firmado el software malicioso y notificamos a VeriSign, la compañía que había expedido el certificado. Como resultado, se revocó el certificado.
Durante la investigación hemos desenmascarado la actividad de un grupo de hackers de origen chino. El grupo se llama Winnti.
Según nuestras estimaciones, este grupo ha estado activo por varios años y se especializa en ataques cibernéticos contra la industria de videojuegos online. El principal objetivo de este grupo es robar códigos fuente de proyectos de juegos online y de certificados digitales de compañías productoras de software. Además, ha manifestado un profundo interés en la infraestructura de red (incluyendo servidores de producción de juegos) y novedades como ideas y diseños conceptuales.
Nuestra compañía no es la primera que se ha concentrado en este grupo e investigado los ataques de los que son responsables. Se sabe que en 2010 la compañía norteamericana HBGary investigó un incidente de seguridad informática ocurrido con uno de sus clientes y relacionado con el grupo Winnti.
Winnti
En otoño de 2011 se descubrió que un troyano se había introducido en los equipos un gran número de usuarios de populares juegos online. Después se descubrió que este programa maliciosos había irrumpido en los equipos de los usuarios junto con las actualizaciones de un juego, enviadas desde el servidor oficial de actualizaciones. Muchos incluso llegaron a sospechar que la compañía espiaba a los jugadores. Pero el programa malicioso había entrado a los ordenadores de los usuarios por error: el objetivo de los delincuentes no eran los jugadores, sino las compañías que diseñan y publican videojuegos.La compañía productora de videojuegos desde cuyos servidores se propagaba el troyano nos pidió que analizáramos la muestra que sus empleados habían descubierto en el servidor de actualizaciones. Resultó que era una biblioteca DLL compilada para las versiones de 64 bits de Windows. Y lo sorprendente es que contenía un driver malicioso con una firma válida.
El módulo malicioso es el primer troyano para la versión de 64 bit de Microsoft Windows con una firma digital válida de que tenemos noticia. Habíamos visto casos similares antes, pero en todos los incidentes previos el abuso de firmas digitales afectaba sólo a las aplicaciones de 32 bits.
La biblioteca maliciosa afectaba a los equipos de los jugadores que usaban tanto la versión de 32 bits, como la de 64 bits del sistema operativo. La biblioteca no podía ejecutarse en los sistemas de 32 bits. En los sistemas de 64 bits este malware podría, en determinadas circunstancias, ejecutarse sin que el usuario se diese cuenta. Sin embargo, nosotros no detectamos estas ejecuciones casuales.
La biblioteca DLL descubierta tenía funciones de backdoor, para ser más precisos se trataba de una RAT (Remote Administration Tool: herramienta de administración remota) completa, que daba a los delincuentes la posibilidad de administrar el equipo infectado sin que el usuario se entere.
Ya al principio de la investigación encontramos en nuestra colección un grupo entero de estos backdoors -de 32 y 64 bits- que se detectaban con diversos veredictos y los reunimos en una familia aparte. Todo parece indicar que la compañía Symantec fue la primera en bautizarlos, dándoles el nombre de Winnti. Nosotros conservamos este nombre en la denominación de la nueva familia, Backdoor. Win32(Win64). Winnti. Y llamamos "grupo Winnti" a la gente responsable de los ataques mediante la herramienta de control remoto.
Resulta interesante que la firma digital pertenecía a otro productor de videojuegos, una compañía privada surcoreana conocida como KOG. El principal negocio de esta compañía son los juegos MMRPG, la misma área de negocios de la primera víctima.
Nos pusimos en contacto con KOG, con cuyo certificado se había firmado el software malicioso y notificamos a VeriSign, la compañía que había expedido el certificado. Como resultado, se revocó el certificado.
- Winnti
- Certificados digitales
- Las víctimas del ataque
- El interés mercantil
- La fuente del ataque
- Conclusión
- El "honeypot" de Winnti - un manjar para atraer a los intrusos
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!