返回新闻列表

卡巴斯基实验室分析全球范围内针对在线游戏公司的网络间谍攻击

        网络犯罪组织“Winnti”攻陷多家在线游戏公司系统,窃取知识产权内容和数字证书,并加以恶意使用。

        近日,卡巴斯基实验室的安全专家团队发布了关于网络犯罪组织“Winnti”所发动的一系列持续性网络间谍攻击的详细调查报告。

        根据卡巴斯基实验室报告,Winnti组织从2009年开始就对网络游戏行业发动攻击,而且目前攻击仍在继续。该组织发动攻击的目的是窃取由合法软件供应商签发的数字证书,此外还会窃取知识产权内容,包括在线游戏项目的源代码。

        发生于2011年秋季的一次安全事件引起了卡巴斯基实验室对Winnti组织的恶意行为的注意,当时我们在全球大量计算机上检测到一款恶意木马程序。这些受感染计算机之间有一个明显的关联,即这些计算机上都安装了一款流行的网络游戏。之后不久,有细节披露感染这些计算机的恶意程序通过游戏公司的官方服务器进行更新时被感染。受感染用户和该网络游戏社区怀疑是游戏发行公司在消费者计算机上安装了恶意软件,从而监视用户行为。但是,之后的调查显示,这些安装到游戏玩家计算机上的恶意程序是网络罪犯所为,而且他们的攻击目标其实是这家游戏公司。

        为了解决这一问题,游戏发行公司邀请卡巴斯基实验室对这一恶意程序进行分析。分析表明,该木马是一种针对64位Windows环境的DLL动态链接库,并且使用了一种合法签名的驱动。该木马是一种功能全面的远程控制工具(RAT),能够在计算机用户不知情的情况下,让攻击者完全控制受感染计算机。这次发现意义重大,因为该木马是首个发现的具有合法签名并针对64位Windows系统的恶意程序。

        卡巴斯基实验室开始对Winnti组织的恶意行为进行调查,发现网络游戏行业有超过30个公司均遭受到Winnti组织的攻击,其中大部分均为东南亚游戏制作公司。除此之外,还有一些位于德国、美国、日本、中国、俄罗斯、巴西、秘鲁和白俄罗斯的在线游戏公司同样成为Winnti组织的受害者。

        除了进行商业间谍行为外,卡巴斯基实验室还发现Winnti组织至少可以利用三种手段将窃取到的数据变现,从而生成大量非法利润:

  • 操纵和积累游戏内部使用的货币,例如收集游戏玩家的“符文“或”金币“,并将积累的虚拟货币转化为真实的钱财;
  • 利用从网络游戏服务器窃取到的源代码查找游戏内部漏洞,扩大和加速对游戏货币的控制和积累,并且不会引起他人察觉;
  • 利用从网络游戏服务器窃取到的源代码,搭建自己的私服。

        目前,Winnti组织的恶意攻击行为仍在继续,卡巴斯基实验室针对其的调查同样正在开展。卡巴斯基实验室的安全专家团队同IT安全社区、网络游戏行业和数字证书发放机构正在紧密合作,寻找更多被感染的服务器,同时帮助撤销被盗的数字证书。

        想要了解卡巴斯基实验室对Winnti组织的恶意行为分析的详细报告,包括调查详细技术分析,请访问Securelist

卡巴斯基实验室产品能够完美检测和清除WInnti组织使用的恶意程序及其变种,这些恶意程序被命名为asBackdoor.Win32.Winnti、Backdoor.Win64.Winnti、Rootkit.Win32.Winnti和Rootkit.Win64.Winnti。