Kaspersky ontdekt massale diefstal bij online spelmakers
Volgens de Russische beveiliger heeft de groep in de afgelopen jaren bij tenminste 35 spelstudio’s toegang weten te krijgen tot de bedrijfsservers. In een blogpost legt Kaspersky uit dat de groep, die het ‘Winnti’ noemt, op zoek was naar de kroonjuwelen van de spelmakers: proprietaire broncodes van spellen en virtuele valuta die het later kon omzetten in echt geld.
De meeste slachtoffers bevonden zich in Azië, waarbij vooral ontwikkelaars uit Japan, China en Zuid-Korea hard werden getroffen. Maar ook spelstudio’s in Duitsland, Amerika en Wit-Rusland vielen ten prooi aan de bende. De bende heeft het telkens voorzien op populaire MMORPG-spellen, online rollenspellen die miljoenen gebruikers hebben in verschillende landen.
Bron: Kaspersky Labs
De aanvallen zijn nog altijd aan de gang, zegt de beveiliger, en de bende gebruikt onder meer gestolen digitale certificaten van een stichting voor Tibetaanse weeshuizen om binnen te geraken. Het stal ook andere digitale certifcaten om zijn aanvallen uit te voeren, waaronder een exemplaar van de Japanse spelstudio YNK Japan.
[related_article id=”161920″]
Weesjes als dekmantel
Wie de website bezoekt van de Tibetan Homes Foundation, kan worden besmet via een besmet Flash-bestand dat op de website wordt gehost. De aanvallers gebruiken vervolgens een relatief nieuwe 0-dayexploit om de computers van hun slachtoffers te kunnen besmetten.
Het is niet helemaal duidelijk hoeveel schade de Winnti-hackers hebben veroorzaakt, omdat Kaspersky in veel gevallen geen volledige toegang kreeg tot de geïnfecteerde servers. Maar het heeft wel een aardig idee van de herkomst van de bende.
“We geloven dat de bron van al deze gestolen certificaten dezelfde Winnti-groep zou kunnen zijn. Ofwel heeft deze groep geregeld contact met andere Chinese hackersgroepen, ofwel verkoopt het de certificaten op de Chinese zwarte markt”, aldus de beveiliger.
Maar tijdens het onderzoek vond de beveiliger ook bewijs dat Koreeanse cybercriminelen betrokken zijn bij de operatie. In een van de geüploade valse certificaten vond het een verwijzing naar de schijflocatie van het bestand, die volgens Kaspersky het Koreaanse woord voor bureaublad bevatte.
Kaspersky werd al in 2011 gevraagd om een onderzoek in te stellen naar de werkwijze van Winnti, nadat een spelbedrijf te maken kreeg met een trojan, die via besmette pc’s op de spelservers wist te komen.
Volgens de Russische beveiliger heeft de groep in de afgelopen jaren bij tenminste 35 spelstudio’s toegang weten te krijgen tot de bedrijfsservers. In een blogpost legt Kaspersky uit dat de groep, die het ‘Winnti’ noemt, op zoek was naar de kroonjuwelen van de spelmakers: proprietaire broncodes van spellen en virtuele valuta die het later kon omzetten in echt geld.
De meeste slachtoffers bevonden zich in Azië, waarbij vooral ontwikkelaars uit Japan, China en Zuid-Korea hard werden getroffen. Maar ook spelstudio’s in Duitsland, Amerika en Wit-Rusland vielen ten prooi aan de bende. De bende heeft het telkens voorzien op populaire MMORPG-spellen, online rollenspellen die miljoenen gebruikers hebben in verschillende landen.
Bron: Kaspersky Labs
De aanvallen zijn nog altijd aan de gang, zegt de beveiliger, en de bende gebruikt onder meer gestolen digitale certificaten van een stichting voor Tibetaanse weeshuizen om binnen te geraken. Het stal ook andere digitale certifcaten om zijn aanvallen uit te voeren, waaronder een exemplaar van de Japanse spelstudio YNK Japan.
[related_article id=”161920″]
Weesjes als dekmantel
Wie de website bezoekt van de Tibetan Homes Foundation, kan worden besmet via een besmet Flash-bestand dat op de website wordt gehost. De aanvallers gebruiken vervolgens een relatief nieuwe 0-dayexploit om de computers van hun slachtoffers te kunnen besmetten.
Het is niet helemaal duidelijk hoeveel schade de Winnti-hackers hebben veroorzaakt, omdat Kaspersky in veel gevallen geen volledige toegang kreeg tot de geïnfecteerde servers. Maar het heeft wel een aardig idee van de herkomst van de bende.
“We geloven dat de bron van al deze gestolen certificaten dezelfde Winnti-groep zou kunnen zijn. Ofwel heeft deze groep geregeld contact met andere Chinese hackersgroepen, ofwel verkoopt het de certificaten op de Chinese zwarte markt”, aldus de beveiliger.
Maar tijdens het onderzoek vond de beveiliger ook bewijs dat Koreeanse cybercriminelen betrokken zijn bij de operatie. In een van de geüploade valse certificaten vond het een verwijzing naar de schijflocatie van het bestand, die volgens Kaspersky het Koreaanse woord voor bureaublad bevatte.
Kaspersky werd al in 2011 gevraagd om een onderzoek in te stellen naar de werkwijze van Winnti, nadat een spelbedrijf te maken kreeg met een trojan, die via besmette pc’s op de spelservers wist te komen.