Хакерская группа Winnti уже несколько лет тайком наживается с помощью целевых атак на производителей и издателей компьютерных онлайн-игр. К такому выводу пришли аналитики «Лаборатории Касперского» в ходе детального исследования вредоносного ПО, обнаруженного в игровых компаниях. О его результатах и возможной схеме монетизации данных рассказали антивирусные эксперты «Лаборатории Касперского» в исследовании «Winnti. Это вам не игрушки».
Осенью
В ходе исследования было обнаружено, что подобное вредоносное ПО уже детектировалось ранее и значится в коллекции «Лаборатории Касперского». Теперь семейство таких зловредов известно под названием Winnti. Соответственно, людей, стоящих за атаками с использованием этого средства удаленного управления, также стали называть «группа Winnti».
Подробный анализ образцов Winnti позволил выявить несколько ключевых фактов об атаках. За время существования Winnti не менее 35 компаний были когда-либо заражены этой группой злоумышленников, и действует эта группа уже довольно давно — как минимум с
Результаты исследования наглядно продемонстрировали, что атакам такого рода может быть подвержена любая организация, данные которой можно эффективно монетизировать. Эксперты «Лаборатории Касперского» выделили 3 основные схемы монетизации кампании Winnti: нечестное накопление игровой валюты/"золота" в онлайн-играх и перевод виртуальных средств в реальные деньги; кража исходников серверной части онлайн-игр для поиска уязвимостей в играх, что может привести к описанному выше методу нечестного обогащения; кража исходников серверной части популярных онлайн-игр для последующего развертывания пиратских серверов.
«Наше исследование выявило длительную широкомасштабную кампанию кибершпионажа со стороны криминальной группы, имеющей китайское происхождение. Основной целью атакующих стала кража исходных кодов игровых проектов компаний и цифровых сертификатов. Кроме того, злоумышленников интересовали данные об организации сетевых ресурсов, включая игровые серверы, и новых разработках: концептах, дизайне и т.п., — заключил один из авторов отчета антивирусный эксперт „Лаборатории Касперского“ Виталий Камлюк. — В ходе расследования нам удалось предотвратить передачу данных на сервер злоумышленников и изолировать зараженные системы в локальной сети компании».