Scovato un gruppo di hacker che attacca i giochi online

L'organizzazione criminale "Winnti" attacca da anni le società di gioco online per rubare codici sorgenti dei giochi, certificati digitali e moneta in game.

Avatar di Redazione - Sicurezza

a cura di Redazione - Sicurezza

La squadra di esperti di Kaspersky Lab ha pubblicato un dettagliato rapporto che analizza una sostenuta campagna di cyberespionage condotto dall'organizzazione criminale nota come "Winnti" nei confronti di molte società attive nel settore dei giochi online. Secondo la relazione, il gruppo Winnti ha iniziato ad attaccare le aziende del settore dal 2009, è attualmente ancora attivo e i suoi scopi principali sono di ottenere certificati digitali (da riutilizzare per far circolare del malware), rubare codice sorgente (probabilmente da studiare per estrapolarne debolezze sfruttabili a fini loschi) e ottenere i dati degli utenti già attivi.

Il primo incidente, che ha attirato l'attenzione alle attività dannose del gruppo Winnti è avvenuto  nell'autunno del 2011, quando un trojan dannoso è stato individuato su un gran numero di computer di utenti sparsi in tutto il mondo. Il legame, chiaro, tra tutti i computer infetti è che erano stati usati per far girare un popolare gioco online. Poco dopo l'incidente, analizzando i dati, è emerso che il programma dannoso era stato "nascosto" in un aggiornamento regolare proveniente dai server ufficiali della società proprietaria del gioco.

Il suo fine era di spiare i giocatori e i membri della comunità.  Paradossalmente, le stesse indagini hanno scoperto che il malware non era destinato, in realtà, agli utenti ma sarebbe dovuto circolare solo negli uffici dello sviluppatore. Invece, l’eccessiva aggressività del virus lo ha portato ad attaccare una delle DLL appena compilate e ad infilarsi nel meccanismo di smistamento online degli aggiornamenti.

Da sempre c'è chi "farma" nei giochi online per guadagnare risorse da rivendere per denaro vero. Forse, però, non era chiaro che questo mercato fosse così grande da spingere i malintezionati a creare una crew specializzata.

In risposta a questa scoperta, l'editore del gioco ha chiesto a Kaspersky Lab di analizzare il programma dannoso. Il malware è stato rintracciato in una libreria DLL compilata per un ambiente a 64 bit di Windows che si installava nel pc delle vittima e permetteva all’hacker di assumerne il controllo tramite amministrazione remota (RAT). La scoperta è stata significativa, in quanto questo trojan è stato il primo programma maligno attivo su un versione a 64 bit di Microsoft Windows 7 che avesse una firma digitale valida. Analizzando le azioni del gruppo Winnti, Kaspersky ha scoperto che più di 30 aziende del settore dei giochi online erano state attaccate e infettate. La maggior parte erano residenti nel Sud Est Asiatico ma anche alcune società in Germania, Stati Uniti, Giappone, Cina, Russia, Brasile, Perù e Bielorussia erano cadute nella trappola del gruppo.

Oltre allo spionaggio industriale, sono stati individuati finora tre sistemi di monetizzazione che potrebbero essere utilizzati dal gruppo criminale per generare un ingiusto profitto: manipolare l'accumulo di valuta in-game , come ad esempio "rune" o "oro" che viene usato dai giocatori, e convertirlo da denaro virtuale in denaro reale; utilizzare il codice sorgente rubato dai server di gioco on-line per la ricerca di vulnerabilità all'interno dei giochi per accelerare la manipolazione di valuta del gioco e il suo accumulo; utilizzare il codice sorgente rubato dai server di popolari di giochi online al fine di distribuirlo nei propri server pirata, magari farcito di malware.

Attualmente il gruppo Winnti è ancora attivo e l'indagine di Kaspersky Lab è ancora in corso. Una squadra di esperti della società sta diligentemente lavorando con la comunità di sicurezza IT, l'industria del gioco online e le autorità di certificazione per identificare ulteriori server infetti, e assiste tali organi per identificare e revocare i certificati digitali rubati.