Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Więcej niż tylko gra - FAQ dotyczące kampanii Winnti

Dodany 24 kwietnia 2013, 15:55 CEST
Tagi:

Niedawno zespół ekspertów z Kaspersky Lab opublikował szczegółowy raport, który podaje wyniki analizy trwającej kampanii cyberszpiegowskiej, prowadzonej przez cyberprzestępców z organizacji znanej jako „Winnti”. Według raportu Kaspersky Lab, grupa Winnti od 2009 r. aktywnie atakuje firmy zajmujące się produkcją gier online. Działania grupy obejmują kradzież cyfrowych certyfikatów podpisanych przez legalnych producentów oprogramowania oraz kradzież własności intelektualnej, w tym kodu źródłowego projektów gier internetowych. Ulubionym narzędziem agresorów jest złośliwy program, który nazwaliśmy „Winnti”. Szkodnik znacznie ewoluował od momentu pierwszego użycia, ale ogólnie wszystkie jego warianty mogą zostać podzielone na dwie generacje: 1.x oraz 2.x. Nasze publikacje omawiają obie generacje wykrytego zagrożenia.

W osobnym raporcie opublikujemy niebawem obszerną analizę pierwszej generacji wariantów szkodnika Winnti. Drugą generację (2.x) Winnti zastosowano w jednym z ataków, który badaliśmy podczas jego aktywnej fazy, pomagając ofiarom przerwać proces wyprowadzania danych na zewnątrz i odizolować zainfekowane urządzenia od reszty sieci korporacyjnej. Opisy incydentów, jak również szczegółowe wyniki naszego dochodzenia w sprawie poczynań grupy Winnti, są dostępne do pobrania jako dokument PDF (treść tylko w języku angielskim). Streszczenie w języku polskim można znaleźć tutaj.

Poniżej prezentujemy zestaw pytań i odpowiedzi nasuwających się podczas analizy kampanii prowadzonej przez grupę Winnti:

Czy to jest badanie dotyczące trojana infekującego komputery graczy w 2011 r.? Dlaczego uważacie, że jest to znaczący problem?

To badanie dotyczy serii przemysłowych kampanii cyberpszpiegowskich i organizacji przestępczej, która masowo wnika w struktury wielu firm zajmujących się oprogramowaniem, odgrywając bardzo ważną rolę w powodzeniu kampanii cyberszpiegowskich innych aktorów w „teatrze zagrożeń”. Ważne jest, aby zdawać sobie sprawę z istnienia i natury działań tego szczególnego agresora, aby zrozumieć szerszy obraz cyberataków pochodzących z Azji. Po zainfekowaniu firm zajmujących się grami komputerowymi z gatunku MMORPG, napastnicy uzyskali potencjalny dostęp do komputerów milionów użytkowników. Jak dotąd nie mamy żadnych danych, które napastnicy ukradli od zwykłych użytkowników, ale zaobserwowaliśmy co najmniej dwa incydenty, podczas których złośliwe oprogramowanie Winnti zostało umieszczone na serwerach aktualizacyjnych gier i zostało rozprzestrzenione do sporej liczby graczy. Próbki złośliwego oprogramowania, które zaobserwowaliśmy, zdawały się nie być ukierunkowane przeciwko użytkownikom końcowym, a szkodliwe moduły przypadkowo dostały się do niewłaściwego miejsca. Jednak możliwość uzyskania przez napastników takiego dostępu i wykorzystanie go do zainfekowania setek milionów użytkowników internetu stwarza poważne globalne ryzyko.

Ważne jest, aby zrozumieć, że wiele firm z branży gier zajmuje się nie tylko grami, ale również bardzo często tworzy lub wydaje różne inne rodzaje oprogramowania. Śledziliśmy incydent, w którym skompromitowana firma opublikowała aktualizację swojego oprogramowania zawierającą trojana pochodzącego od grupy Winnti. Stało się to wektorem infekcji, który pozwolił wniknąć napastnikom do innej firmy, co z kolei doprowadziło do wycieku poufnych danych wielu klientów. Tak więc, to badanie jest poświęcone złośliwej grupie, która nie tylko podważa wiarę w uczciwą grę, ale ma również poważny wpływ na ogólny spadek zaufania do producentów oprogramowania, zwłaszcza w regionach, w których grupa Winnti jest obecnie aktywna.

Jakie są szkodliwe założenia tego trojana?

Trojan, lub aby być w pełni precyzyjnym, zestaw penetracyjny zwany Winnti, zawiera różne moduły do zapewnienia zdalnego dostępu do zainfekowanych komputerów. Obejmuje to ogólny zbiór informacji o systemie, plikach i zarządzaniu procesami, tworzenie łańcuchów przekierowań portów sieciowych do wygodnego wyprowadzania danych i dostęp do zdalnego pulpitu.

Czy ten atak jest nadal aktywny?

Tak. Mimo usilnych działań mających na celu powstrzymanie napastników poprzez cofnięcie certyfikatów cyfrowych, wykrywanie szkodliwego oprogramowania i trwające dochodzenie, napastnicy wciąż pozostają aktywni i stanowią ciągłe zagrożenie dla co najmniej kilku firm na całym świecie.

Jaki jest potencjalny wpływ omawianej kampanii na zwykłych użytkowników?

Omawiane złośliwe oprogramowanie nie jest w tej chwili ukierunkowane na użytkowników końcowych. Z wykorzystaniem tego złośliwego oprogramowania napastnicy na bieżąco atakują firmy deweloperskie z branży gier internetowych. Jak dotąd nie wykryliśmy szkodliwego oprogramowania spod szyldu Winnti, które byłoby zaprojektowane do ataku na użytkowników końcowych, ale to nie przeczy założeniu, że takie oprogramowanie może istnieć.

Jakie są możliwe szkody dla firm z branży gier komputerowych?

Omawiane szkodliwe oprogramowanie znane jest z kradzieży certyfikatów cyfrowych, wykorzystywanych przez firmy produkujące gry, co pozwala napastnikom rozprzestrzeniać złośliwy kod jako oprogramowanie podpisane przez zaufane podmioty. Ponadto, zaobserwowaliśmy próby kradzieży własności intelektualnej należącej do firm produkujących gry w postaci kodów źródłowych i projektów wewnętrznych systemów.

Kim są napastnicy? Z jakich krajów pochodzą?

Nasze badanie ujawniło, że napastnicy użyli w kodzie swojego „produktu” języka chińskiego; korzystali z chińskich lokalizacji systemu operacyjnego na serwerach Windows, a także używali sporej liczby adresów IP znajdujących się w Chinach. Istnieje wiele innych wskaźników, jak np. pseudonimy, strefy czasowe itd., które pokazują, że napastnicy rezydują w Chińskiej Republice Ludowej. Na przykład, wiele wirtualnych osobistości – związanych z rodziną szkodliwego oprogramowania Winnti – pojawiło się na specyficznych chińskich forach internetowych, skupionych wokół tematów hakingu / podatności / bezpieczeństwa sieci. Trop ciągnący się za jedną z takich osób doprowadził nas do Luoyang w środkowych Chinach.

Kim są ofiary? Na jaką skalę prowadzony jest atak?

Większość ofiar to firmy programistyczne, które w większości produkują gry wideo w Azji Południowo – Wschodniej. W ciągu ostatniego półtora roku naliczyliśmy 35 unikatowych, skompromitowanych firm. Z drugiej strony, ujawniliśmy 227 nazw domen utworzonych przez atakujących i wykorzystywanych w różnych kampaniach jako serwery centrum kontroli.

Dlaczego napastnicy skoncentrowali się na regionie Azji Południowo – Wschodniej?

Jest to najprawdopodobniej związane z geograficznym położeniem napastników i ich zainteresowaniem lokalną branżą programistyczną. Wydaje się, że napastnikom szczególnie zależało na uzyskaniu dostępu do lokalnych, popularnych producentów oprogramowania. Powód tych działań pozostaje niejasny, ale prawdopodobnie cyberprzestępcy chcieli przede wszystkim kontrolować cyfrowe certyfikaty i mieć dostęp do procesów produkcji oprogramowania lokalnych firm programistycznych, aby być w stanie atakować inne regionalne organizacje lub zyskać w dowolnej chwili potencjalną możliwość infekcji dużej liczby lokalnych użytkowników.

W jaki sposób użytkownicy (zarówno domowi, jak i korporacyjni) są chronieni przed tego typu atakami?

Wszyscy klienci Kaspersky Lab, którzy regularnie aktualizują bazy danych i moduły posiadanych produktów, są w pełni chronieni przed złośliwym oprogramowaniem z rodziny Winnti. Chcielibyśmy zalecić wszystkim pozostałym użytkownikom zachowanie szczególnej ostrożności podczas otwierania załączników przychodzących w podejrzanych wiadomościach e-mail, ponieważ jest to główny wektor rozprzestrzeniania się omawianego zagrożenia.

Czy można opisać różne etapy tego ataku? Dla przykładu, czy napastnicy najpierw hakowali serwery firm zajmujących się grami, a później używali tych skompromitowanych serwerów (i podpisanych certyfikatów) do rozprzestrzeniania złośliwego oprogramowania do użytkowników końcowych (graczy)?

W większości przypadków obserwowaliśmy ataki ukierunkowane, które rozpoczynały się od spear – phishingowych wiadomości e-mail przesłanych na kilka skrzynek pocztowych w docelowej firmie. Wiadomości e-mail niosły ze sobą złośliwy załącznik w postaci samorozpakowującego się lub regularnego archiwum z plikiem wykonywalnym. Nie widzieliśmy żadnych luk zero-day używanych przez grupę Winnti. Po wstępnej penetracji sieci firmowej, napastnicy ładowali na zainfekowanej maszynie zestaw narzędzi do skanowania zasobów sieciowych, dokonywali eskalacji przywilejów i lokalizowali najbardziej wartościowe informacje w zaatakowanej organizacji. Następnie napastnicy wyprowadzali skradzione dane w postaci skompresowanej na jeden ze swoich serwerów C&C w internecie, zazwyczaj używając wstecznego kanału TCP (poprzez łańcuch prostych aplikacji proxy TCP). Jeśli chodzi o zaatakowane serwery, to owszem widzieliśmy przypadki, gdy szkodliwe oprogramowanie było dostępne do pobrania z publicznych serwerów firm produkujących gry, ale komponent, który wykryliśmy na serwerach nie wystarczał do skutecznego zainfekowania komputerów użytkowników końcowych i najprawdopodobniej trafił tam przez przypadek.

W jaki sposób napastnicy czerpią zysk z ataku? Czy ma to miejsce poprzez manipulacje grami online, czy może sprzedają oni dane / pliki / poświadczenia skradzione z zainfekowanych komputerów przez backdoora (zupełnie nie związanego z żadną grą)?

Jesteśmy przekonani, że głównym celem napastników jest gromadzenie certyfikatów cyfrowych, kradzież własności intelektualnej firm produkujących oprogramowanie, z uwzględnieniem kodów źródłowych ich produktów oraz kradzież wirtualnej waluty („złota”, „runów” itp.) w grach MMORPG. Podczas gdy certyfikaty cyfrowe mogą być sprzedawane na podziemnym rynku innym napastnikom, kody źródłowe dają możliwości wykorzystywania luk w samych grach i utworzenia nielegalnego biznesu gier online w rejonie, w którym działają napastnicy.

Jeśli cyberprzestępcy zarabiają poprzez zakłócanie procesów w grze, to czy można wyjaśnić, jak to się robi? Czy napastnicy wykorzystują luki w zaatakowanych grach do tworzenia fałszywej waluty w grze („złota” / „runów” / „monet” itd.), a następnie sprzedają tę fałszywą walutę innym graczom za realne pieniądze?

Aktualnie nie mamy całkowitego potwierdzenia, że atakujący nadużywają gry do generowania fałszywej waluty ponieważ nie posiadamy pełnego dostępu do serwerów gier, które zostały naruszone podczas ataku. Ale jak donoszą raporty niektórych producentów gier – kilka złośliwych modułów zostało wstrzykniętych w procesy serwerów gier i najprawdopodobniej były one wykorzystywane do manipulowania wewnętrznym przebiegiem procesów, co zapewne prowadziło do wytwarzania fałszywej waluty lub innych cennych przedmiotów w grze.

Jakie firmy produkujące gry znalazły się na celowniku napastników? Jakie gry zostały naruszone?

Ujawniamy listę firm, których certyfikaty cyfrowe zostały skradzione i były wykorzystywane przez napastników. Jednakże, lista nie zawiera nazw wszystkich firm, o których wiemy, że zostały naruszone. Kilka firm, z którymi współpracowaliśmy, dobrowolnie wsparło nasze dochodzenie i badania, ale woli pozostać anonimowymi. Poniżej znajduje się lista firm, których certyfikaty zostały skradzione:

  • ESTsoft Corp
  • Kog Co., Ltd.
  • LivePlex Corp
  • MGAME Corp
  • Rosso Index KK
  • Sesisoft
  • Wemade
  • YNK Japan
  • Guangzhou YuanLuo
  • Fantasy Technology Corp
  • Neowiz

Próbki złośliwego oprogramowania Winnti zawierają również etykiety, które mogą sygnalizować pozostałe naruszone firmy oraz organizacje, do których zostało już dostarczone szkodliwe oprogramowanie. Wśród nich rozpoznaliśmy następujące firmy:

  • Cayenne Entertainment Technology Co.,Ltd, Tajwan, etykieta: Wasabii
  • AsiaSoft, Tajlandia, etykieta: asiasoft
  • GameNet, Rosja, etykieta: GameNet
  • NEXON Corporation, Japonia, etykieta: nexon
  • VNG Corporation, Wietnam, etykieta: zing
  • Trion Worlds, Stany Zjednoczone, etykieta: TRIONWORLD
  • EYAsoft, Korea Południowa, etykieta: eyaap80
  • NCsoft, Korea Południowa, etykiety: aion5000, aion2008
  • Zemi Interactive, Korea Południowa, etykieta: zemi
  • NHN Corporation, Korea Południowa, etykieta: NHN
  • Hangame Japan, Japonia, etykieta: hangame.jp

Czy podczas swojej analizy zidentyfikowaliście unikalne cechy, które wskazywałyby, kim mogą być napastnicy?

Tak, udało nam się odkryć kilka unikalnych cech napastników:

  • Strefa czasowa, gdy napastnicy byli aktywni: najprawdopodobniej pomiędzy GMT+07 i GMT+09.
  • Język uproszczony chiński ustawiony w lokalizacji sekcji zasobów niektórych szkodliwych modułów. Chińskie ciągi tekstowe używane w raportach generowanych przez niektóre moduły szkodników.
  • Nazwa chińskiej grupy hakerskiej wykorzystana jako hasło do specjalnego backdoora.
  • Chińskie profile użytkowników zaangażowanych w zamieszczanie wiadomości kontrolnych na blogach i forach.
  • Chińskie wersje językowe systemów operacyjnych używanych na serwerach centrum kontroli (poprzez połączenie RDP).

Czy którekolwiek z tych cech zidentyfikowano w innych kampaniach nie związanych z grami?

Certyfikaty firm produkujących gry zostały wykorzystane w atakach na działaczy ujgurskich i tybetańskich:

Ataki na inne przedsiębiorstwa z uwzględnieniem firm z sektora lotniczego:

Zaobserwowaliśmy również, że spółka SK Communications – właściciel największej w Korei Południowej sieci społecznościowej CyWorld oraz popularnego południowokoreańskiego portalu Nate – została zhakowana w roku 2011, a infekcja została rozprzestrzeniona z innej firmy (ESTsoft), która uprzednio została spenetrowana przez grupę Winnti:

Czy napastnicy z grupy Winnti mogą być łączeni z jakimiś kampaniami, które miały miejsce w przeszłości?

Opierając się na ogólnym postrzeganiu operacji Winnti uważamy, że napastnicy, którzy sformowali grupę Winnti byli kiedyś członkami chińskich podziemnych grup hakerskich. Jest bardzo prawdopodobne, że będąc członkami tych grup, atakowali oni na oślep różne podmioty, w tym przedsiębiorstwa i użytkowników indywidualnych, ale po zjednoczeniu się w grupę Winnti i z dobrze zorganizowanym zarządzaniem, zaczęli to robić regularnie, systematycznie i precyzyjnie. Można by rzec, że działają jak zawodowcy.

Co ta kampania znaczy dla kogoś, kto nie gra w gry online i nie prowadzi firmy produkującej gry? Czy grupa Winnti atakuje również inne cele?

Było kilka incydentów, w których naruszone zostały firmy nie mające nic wspólnego z branżą gier wideo, jednakże, głównym obszarem zainteresowań grupy Winnti pozostają twórcy gier. Niemniej jednak nie ma powodu, dla którego grupa Winnti nie mogłaby przejść w przyszłości do atakowania innych typów przedsiębiorstw. Narzędzia, których grupa używa do ataku, są na tyle uniwersalne, iż mogą być z powodzeniem stosowane w ofensywie na inne cele.

Czy istnieją jakieś specyficzne objawy infekcji, których użytkownicy końcowi powinni być świadomi (BSOD, otwarte porty itp.)?

Złośliwe oprogramowanie, które przeanalizowaliśmy, podczas pracy w systemie wykorzystuje podejście rootkitów. Rozpoczyna swoje działanie jako sterownik systemowy i ładuje dodatkowe moduły do pamięci. Użytkownik końcowy najprawdopodobniej nie zauważy żadnej zmiany w porównaniu do niezainfekowanego systemu.

Co firmy z branży gier powinny zrobić, aby zweryfikować, czy ich serwery nie zostały naruszone?

Najprostszym sposobem dla administratorów systemu byłoby wdrożenie produktu z silnikiem antywirusowym lub zastosowanie autonomicznego narzędzia (takiego jak Kaspersky Security Scan) ponieważ wszystkie wykorzystywane w kampanii szkodliwe pliki są obecnie wykrywane przez analizę sygnatur z naszych baz antywirusowych.

Co zrobić powinni użytkownicy końcowi, aby sprawdzić, czy ich systemy nie zostały naruszone?

Użytkownik końcowy może ręcznie sprawdzić, czy jego system nie jest zagrożony. Infekcję można rozpoznać po obecności na dysku lokalnych plików o nazwach apphelp.dll i winmm.dll, które rezydują poza katalogiem %WINDIR%\System32. Zazwyczaj napastnicy umieszczają te pliki w lokalizacji %WINDIR%, co jest wyraźnym wskaźnikiem zaatakowanego systemu.