Winnti, o el ciberespionaje contra jugadores on-line
Kaspersky Lab ha comunicado la existencia de una campaña de ciberespionaje dirigida a compañías de videojuegos on-line que busca acumular dinero u “oro” virtual en los juegos con la intención de convertirlo en dinero real con posterioridad.
Kaspersky Lab ha denunciado la existencia de Winnti, una campaña de ciberespionaje dirigida a compañías de videojuegos on-line. Según el informe firmado por los expertos de la firma rusa, el grupo Winnti ha estado atacando a empresas de la industria del juego online desde 2009 y actualmente sigue en activo. Los objetivos del grupo son la adquisición de certificados digitales firmados por los proveedores de software, además del robo de propiedad intelectual, incluyendo el código fuente de los proyectos de los juegos online.
Tal y como informan desde Kaspersky Lab, tras un incidente de seguridad en el otoño de 2011, en el que todos los usuarios infectados era jugaban a un popular juego online, se comprobó que el programa malicioso que había infectado los ordenadores de los usuarios formaba parte de una actualización periódica del servidor oficial de cierta compañía de videojuegos, si bien se ha descubierto que programa malicioso se instaló por error en los equipos de los usuarios y que el ataque en realidad iba dirigido a la compañía de videojuegos.
En concreto, se trataba de una biblioteca DLL compilada para las versiones de 64 bits de Windows. Esta biblioteca maliciosa afectaba a los equipos de los jugadores que usaban tanto la versión de 32 bits, como la de 64 bits del sistema operativo. Dicha biblioteca era una herramienta de administración remota totalmente funcional (RAT), que da a los atacantes la capacidad de controlar el ordenador de la víctima sin el conocimiento del usuario.
Tras analizarlo, los expertos de Kaspersky Lab han llegado a la conclusión de que el objetivo del ataque eran 30 empresas de la industria del juego online que habían sido infectadas por el grupo Winnti, y la mayoría eran empresas de desarrollo de software que producen juegos on-line en el sudeste de Asia, si bien otras ubicadas en Alemania, Estados Unidos, Japón, China, Rusia, Brasil, Perú y Bielorrusia también se identificaron como víctimas del grupo.
Pero, ¿cómo convertían este ataque en dinero? Según los expertos en su informe, las formas de convertir en beneficio el ataque pasaban por manipular la acumulación de moneda en el juego para convertir el dinero virtual en dinero real; usar el código fuente robado de los servidores de los juegos on-line en busca de vulnerabilidades para aumentar y acelerar la manipulación de la moneda virtual y su acumulación sin levantar sospechas; y usar el código fuente robado de los servidores con el fin de implementar sus propios servidores piratas.
