El equipo de Kaspersky Lab publicó hoy un informe de investigación detallado que analiza la campaña de ciberespionaje llevada a cabo por la organización cibercriminal conocida como “Winnti”.
Según el informe de Kaspersky Lab, el grupo Winnti ha estado atacando compañías en la industria de juegos en línea desde 2009 y actualmente sigue en actividad. Los objetivos del grupo son robar certificados digitales firmados por revendedores de software legítimos, además del hurto de propiedad intelectual, incluso de códigos fuente de proyectos de juegos en línea.
El primer incidente que atrajo la atención a las actividades delictivas del grupo Winnti ocurrió en el segundo semestre de 2011, cuando se detectó un troyano malicioso en un gran número de computadoras de usuarios finales en todo el mundo. La clara conexión entre todas las computadoras infectadas es que en todas ellas se jugaba un popular juego en línea. Poco tiempo después del incidente, se descubrió que el programa malicioso que había infectado a esas computadoras era parte de una actualización regular del servidor oficial de la compañía de juegos. Los usuarios infectados y miembros de la comunidad de jugadores sospecharon que la compañía de juegos estuviera instalando el malware para espiar a sus clientes. Sin embargo, más tarde se supo que el programa malicioso se había instalado en las computadoras de los jugadores por accidente y que los cibercriminales en realidad estaban atacando a las propias compañías.
En respuesta, la compañía de juegos propietaria de los servidores que distribuyeron el troyano a sus usuarios le pidió a Kaspersky Lab que analizara el programa malicioso. El troyano resultó ser una biblioteca DLL recopilada para un ambiente Windows de 64 bits, usando un drive malicioso con una firma legítima. Era una herramienta de administración remota (Remote Administration Tool, RAT), que permite que los atacantes controlen una computadora sin que el usuario se dé cuenta. Fue un descubrimiento significativo, dado que ese troyano fue el primer programa malicioso en una versión de Microsoft Windows de 64 bits con una firma digital válida.
Los especialistas de Kaspersky Lab comenzaron a analizar la campaña del grupo Winnti y descubrieron que más de 30 compañías de la industria de video habían sido infectadas por el grupo, la mayor parte de ella compañías de desarrollo de software que producen videojuegos en línea en el Sudeste Asiático. No obstante, compañías de juegos en línea en Alemania, Estados Unidos, Japón, China, Rusia, Brasil, Perú y Bielorrusia también fueron víctimas del grupo Winnti.
Además del espionaje industrial, los especialistas de Kaspersky Lab identificaron tres grandes esquemas de monetización que podrían ser usados por el grupo Winnti para generar ingresos ilegales:
- Manipular la acumulación de monedas de juego, como “runas” u “oro”, que los jugadores utilizan para convertir dinero virtual en dinero real.
- Usar el código fuente robado de servidores de juegos en línea para buscar vulnerabilidades dentro de juegos para aumentar y acelerar la manipulación de la moneda de juego y su acumulación sin levantar sospechas.
- Usar el código fuente robado de servidores de populares juegos en línea para implementar sus propios servidores pirateados.
Actualmente, el grupo Winnti sigue en actividad y la investigación de Kaspersky Lab también continúa. El equipo de especialistas de la compañía ha trabajado afanosamente con la comunidad de seguridad de TI, la industria de juegos en línea y las autoridades de certificación para identificar otros servidores infectados mientras brindan asistencia en la anulación de los certificados digitales robados.
Para leer el informe completo de Kaspersky Lab sobre la campaña del grupo Winnti, incluyendo un análisis técnico completo de la investigación, visite Securelist.
Los productos de Kaspersky Lab detectan y neutralizan el programa malicioso y sus variantes usadas por el grupo Winnti, clasificadas como Backdoor.Win32.Winnti, Backdoor.Win64.Winnti, Rootkit.Win32.Winnti y Rootkit.Win64.Winnti.