home סייבר אבטחת סייבר מומחי Kaspersky Lab גילו קמפיין ריגול סייבר עולמי נגד חברות משחקים מקוונים

מומחי Kaspersky Lab גילו קמפיין ריגול סייבר עולמי נגד חברות משחקים מקוונים

Apr 12, 2013

This post is also available in: English (אנגלית)

צוות מומחי Kaspersky Lab פרסם דו"ח מחקר מפורט המנתח את קמפיין ריגול הסייבר המתמשך המנוהל על ידי ארגון פשע סייבר בשם " “Winnti.

לפי הדו"ח של Kaspersky Lab , קבוצת Winnti תקפה את חברות תעשיית המשחקים מאז 2009 והיא פעילה גם כיום. מטרת הקבוצה היא גניבת תעודות דיגיטליות החתומות על ידי ספקי תוכנה חוקיים, בנוסף לגניבת קניין רוחני, כולל קוד המקור של פרויקטי משחקים מקוונים.

התקרית הראשונה אשר משכה תשומת לב לפעילויות הזדוניות של קבוצת Winnti התרחשה בסתיו 2011 , כשסוס טרויאני זדוני התגלה במספר רב של מחשבי משתמשים סביב העולם. הקשר הברור בין כל המחשבים הנגועים היה בכך שנעשה בהם שימוש במשחק מקוון פופולארי. זמן קצר לאחר התקרית פורסם כי התוכנה הזדונית שהדביקה את מחשבי המשתמשים הייתה חלק מהעדכון השוטף שנשלח מהשרת הרשמי של חברת המשחקים. המשתמשים שהודבקו וחברי קהילת המשחקים חשדו ביצרן משחק המחשב שהוא התקין את התוכנה הזדונית כדי לרגל אחר הלקוחות. אבל מאוחר יותר התברר שהתוכנה הזדונית הותקנה על מחשבי המשתמשים רק במקרה, וכי מטרת פושעי הסייבר הייתה חברת המשחקים המקוונים עצמה.

בתגובה, יצרן משחק המחשב, שהיה בעל השרתים שהפיצו את הסוס הטרויאני למשתמשים, פנה ל-Kaspersky Lab כדי שתנתח את התוכנית הזדונית. הסוס הטרויאני התברר כספריית DLL שעברה קומפילציה לסביבת חלונות 64 ביט והשתמשה בכונן זדוני בעל חתימה חוקית. זה היה כלי ניהול מרחוק Remote Administration Tool (RAT) בפונקציונאליות מלאה, המקנה לתוקפים את היכולת לבקר את מחשב הקורבן ללא ידיעת המשתמש. הממצא היה חשוב כיוון שסוס טרויאני זה היה התוכנה הזדונית הראשונה על גרסת 64 ביט של Microsoft Windows 7 שהייתה בעלת חתימה דיגיטלית חוקית.

מומחי Kaspersky Lab החלו לנתח את קמפיין קבוצת Winnti ומצאו שיותר מ-30 חברות בתעשיית המשחקים המקוונים נפגעו על ידי הקבוצה, ברובן חברות פיתוח תוכנה המייצרות משחקי ווידאו מקוונים בדרום מזרח אסיה. עם זאת, גם חברות משחקים הממוקמות בגרמניה, ארצות הברית, יפן, סין, רוסיה, ברזיל, פרו ובלרוס זוהו כקורבנות קבוצת Winnti.

בנוסף לריגול תעשייתי, מומחי Kaspersky Lab זיהו שלוש דרכים ליצירת הכנסה אשר יכלו לשמש את קבוצת Winnti לצבירת רווחים בלתי חוקיים:

– מניפולציה על איסוף כספי המשחקים, כגון “runes” או “gold” בהם נעשה שימוש על ידי השחקנים כדי להמיר את הכסף הווירטואלי הנצבר לכסף אמיתי;

– שימוש בקוד מקור גנוב משרתי המשחקים המקוונים לביצוע חיפוש אחר נקודות תורפה של המשחקים להגברת המניפולציה על כספי המשחקים ואיסופם מבלי לעורר חשד.

– שימוש בקוד מקור גנוב משרתי משחקים מקוונים פופולאריים להתקנת שרתים פיראטיים של הקבוצה.

קבוצת Winnti עדיין פעילה עכשיו וחקירת Kaspersky Lab נמשכת. צוות מומחי החברה ממשיך לעבוד בשקדנות עם קהילת אבטחת ה-IT, תעשיית המשחקים המקוונים ורשויות התעודות הדיגיטליות, כדי לזהות שרתים פגועים נוספים תוך סיוע בפסילת החתימות הדיגיטליות הגנובות.