Según el informe de Kaspersky Lab, el grupo Winnti ha estado atacando a empresas de la industria del juego online desde 2009 hasta ahora. Sus objetivos son la adquisición de certificados digitales firmados por los proveedores de software, además del robo de propiedad intelectual, incluyendo el código fuente de los proyectos de los juegos online.
El primer incidente que llamó la atención sobre las actividades maliciosas del grupo Winnti se produjo en otoño de 2011, cuando un troyano malicioso fue detectado en un gran número de equipos en todo el mundo. El vínculo común entre todos los usuarios infectados era que jugaban a un popular juego online. Poco después del incidente, se comprobó que el programa malicioso que había infectado los ordenadores de los usuarios formaba parte de una actualización periódica del servidor oficial de la compañía de videojuegos. Los usuarios y los miembros de la comunidad de jugadores sospechaban que el editor del juego instaló el malware para espiar a sus clientes. Sin embargo, más tarde descubrió que el programa malicioso se instaló por error en los equipos de los usuarios y que el ataque en realidad iba dirigido a la compañía de videojuegos.
En respuesta, la compañía productora de videojuegos pidió a Kaspersky Lab que analizara la muestra que sus empleados habían descubierto en el servidor de actualizaciones. Resultó que era una biblioteca DLL compilada para las versiones de 64 bits de Windows. Esta biblioteca maliciosa afectaba a los equipos de los jugadores que usaban tanto la versión de 32 bits, como la de 64 bits del sistema operativo. Esta biblioteca DLL descubierta era una herramienta de administración remota totalmente funcional (RAT), que da a los atacantes la capacidad de controlar el ordenador de la víctima sin el conocimiento del usuario. El hallazgo fue significativo ya que este troyano ha sido el primer programa malicioso en una versión de 64 bits de Microsoft Windows 7 con una firma digital válida.
El análisis de las muestras de Winnti realizado por Kaspersky permitió determinar a quiénes iba destinado este archivo malicioso. Más de 30 empresas de la industria del juego online habían sido infectadas por el grupo Winnti, y la mayoría eran empresas de desarrollo de software que producen juegos online en el sudeste de Asia. Sin embargo, las compañías de juego online ubicadas en Alemania, Estados Unidos, Japón, China, Rusia, Brasil, Perú y Bielorrusia también se identificaron como víctimas del grupo Winnti.
Además de espionaje industrial, Kaspersky Lab ha identificado tres esquemas de monetización que podrían ser utilizados por el grupo Winnti para generar una ganancia ilegal:
– Manipular la acumulación de moneda en el juego, como “runas” u “oro”, que utilizan los jugadores para convertir el dinero virtual en dinero real.
– Usar el código fuente robado de los servidores de los juegos online en busca de vulnerabilidades para aumentar y acelerar la manipulación de la moneda virtual y su acumulación sin levantar sospechas.
– Usar el código fuente robado de los servidores con el fin de implementar sus propios servidores piratas.
Actualmente el grupo Winnti sigue activo y la investigación de Kaspersky Lab está en curso. El equipo de expertos de la compañía ha estado trabajando de forma conjunta con la comunidad de seguridad TI, la industria del juego online y las autoridades de certificación para identificar otros servidores infectados mientras colabora en la revocación de los certificados digitales robados.
Informe completo | Securelist