ריגול מקוון פגע בחברות משחקים מקוונים
מאת: מערכת
TelecomNews 15.04.13, 09:15
מעבדת קספרסקי חשפה, שארגון הפשע "ווינטי" מסכן מערכות מחשב בחברות משחקים וגונב מהן נכסים בלתי מוחשיים ותעודות דיגיטליות לשימוש זדוני.
מומחים של מעבדת קספרסקי פרסמו תוצאות מחקר המנתח קמפיין ריגול מתמשך שניהל ארגון פשע מקוון בשם "ווינטי" (
Winnti), שהחל לפעול בשנת 2009 ופעילותו נמשכת. מטרת הקבוצה לגנוב תעודות דיגיטליות החתומות על ידי ספקי תוכנה מוכרים ובנוסף לגנוב נכסים בלתי מוחשיים, הכוללים את קוד המקור של פרויקטים בתחום המשחקים המקוונים.
האירוע הראשון שמשך תשומת לב לפעילות הזדונית של ווינטי התרחש בסתיו 2011, כאשר סוס טרויאני התגלה במספר גדול של מחשבי משתמשי קצה ברחבי העולם. הקשר בין כל המחשבים שנפגעו היה בשימוש לצורך משחק מקוון פופולארי. זמן קצר לאחר האירוע, נחשפו פרטים שהראו, כי תוכנת הקוד הזדוני שפגעה במחשבי המשתמשים הייתה חלק מעדכון שוטף שהגיע מהשרת הרשמי של חברת המשחקים. משתמשים שנפגעו וחברים בקהילת המשחקים חשדו, כי חברת המשחקים התקינה את הקוד הזדוני כדי לעקוב אחר לקוחותיה. אך לאחר מכן התברר כי תוכנת הקוד הזדוני הותקנה על מחשבי השחקנים במקרה, והעבריינים כיוונו את הפעילות אל חברת משחקי הווידאו עצמה.
חברת המשחקים ששרתיה הפיצו את הקוד הזדוני ביקשה ממעבדת קספרסקי לסייע בניתוח הקוד הזדוני ומהניתוח התגלה סוס טרויאני בספריית
DLL שיועדה לסביבת חלונות 64 ביט ועשה שימוש בכונן זדוני בעל חתימה תקינה. באמצעות כלי ניהול מערכות מרחוק הייתה לתוקפים יכולת לשלוט במחשב הקורבן ללא ידיעתו. הממצא המשמעותי היה כי הסוס הטרויאני היה הקוד הזדוני הראשון עבור גרסת 64 ביט של חלונות, אשר פעל תחת חתימה דיגיטלית תקינה.
מומחי קספרסקי החלו לנתח את הקמפיין של קבוצת ווינטי וגילו, כי יותר מ- 30 חברות בתעשיית הוידיאו נפגעו ממנה, ורובן היו חברות פיתוח תוכנה שהפיקו משחקי וידאו מקוונים בדרום מזרח אסיה. גם חברות משחקים מארה"ב, גרמניה, יפן, סין, רוסיה, ברזיל, פרו ובלרוס, נפגעו מפעילות קבוצת ווינטי.
בנוסף לריגול התעשייתי, זיהו מומחי מעבדת קספרסקי 3 אפיקי הכנסה שווינטי יכלה להשתמש בהם ליצירת רווחים לא חוקיים:
- מניפולציה של צבירת כסף משחק, כגון "
runes" או "זהב", אשר נמצא בשימוש על ידי שחקנים כדי להפוך כסף וירטואלי לכסף אמיתי
- שימוש בקוד שנגנב משרתי המשחק המקוונים כדי לחפש פרצות במשחקים ולהגביר ולהאיץ את צבירת כסף המשחק ללא חשד מצד המפעילים
- שימוש בקוד המקור שנגנב מהשרתים של משחקים פופולאריים כדי להפעיל אותו על שרתים פיראטיים.
קבוצת ווינטי עדיין פעילה והמחקר של מעבדת קספרסקי נמשך. צוות מומחי החברה פעל בשיתוף קהילת אבטחת המידע, תעשיית המשחקים ורשויות הנפקת התעודות, כדי לזהות שרתים נוספים שנפגעו תוך סיוע באחזור תעודות דיגיטליות שנגנבו. בקספרסקי זיהו וניטרלו תוכנות זדוניות ונגזרות שלהן שנמצאו בשימוש קבוצת ווינטי.
לעיון בדו"ח המלא ר'
Securelist כאן.
