ЛК: Хакерская группа Winnti взламывает учетные записи онлайн-игроков по всему миру

Начиная с осени 2011 года ИБ-эксперты «Лаборатории Касперского» расследовали ряд инцидентов безопасности, касающихся взломов учетных записей и серверов онлайн-игр. Как утверждают исследователи, злоумышленники получали доступ не только к данным игроков, но и к конфиденциальной информации компаний-производителей игр.

Среди пострадавших компаний есть такие, как ESTsoft Corp, Kog Co., Ltd., MGAME Corp, Sesisoft, Wemade и пр.

«Так, например, в атаке против южнокорейских социальных сетей Cyworld и Nate в 2011 году – был использован троянец с подписью от японской игровой компании YNK Japan Inc.», - гласит отчет ЛК.

В ЛК установили, что взломы осуществлялись хакерской группой Winnti. Это название не является официальным. Наименование группа получила после того, как сотрудники компании обнаружили, что для взломов использовался бэкдор, идентифицируемый ЛК как Winnti.

Благодаря проведенному анализу исследователи выявили несколько ключевых фактов об атаках: более 35 компаний были заражены Winnti, а группа активна, как минимум, с 2009-го года.

В ходе исследования исследователи также установили, что за осуществление кибератак ответственны хакеры китайского происхождения. Злоумышленники используют сертификаты, похищенные у атакованных компаний, и используют их для новых атак.

«Мы считаем, что источником этих сертификатов является группа, которую мы назваем Winnti. И она либо имеет тесные связи с другими китайскими хакерскими группами, либо продает эти сертификаты на китайском черном рынке», - сообщили эксперты по ИБ.

«Вредоносная программа, названная нами Winnti, значительно эволюционировала с момента своего первого появления, но мы классифицируем все варианты по двум основным ее поколениям: 1.0 и 2.0», - подытожили в ЛК.

В ЛК сообщили, что атакованные компании расположены по всему миру — в Германии, США, Японии, Китае, России и других государствах. Для идентификации компании, пострадавшей от атаки, эксперты по безопасности исследовали домены и поддомены C&C серверов, например, ru.gcgame.info, kr.zzsoft.info, jp.xxoo.co, us.nhntech.com и пр.

В некоторых случаях в настройках Winnti адрес центра управления определялся как локальный IP-адрес, указывая, что зараженный компьютер был изолирован от Сети.

Более подробно с отчетом ЛК можно ознакомиться здесь .