Winnti
Cyberkriminelle kapern PCs von Spiele-Fans
Auf die Geheimnisse von Online-Spieleherstellern abgesehen hat es offenbar Winnti, eine Gruppe von Cybergangstern. Laut dem Sicherheitsunternehmen Kaspersky Lab manipuliert diese Gruppe die Systeme der Publisher und stiehlt vertrauliche Infos und digitale Zertifikate.
Für ihre Angriffe nutzt Winnti die entsprechend manipulierten PCs ahnungsloser Spiele-Fans. Bereits 2011 war die Gruppe zum erstem Mal aufgefallen. Damals war ein Trojaner auf einer Vielzahl von Heimcomputern auf der ganzen Welt entdeckt worden. Alle befallenen Computer für ein beliebtes Online-Spiel benutzt wurden. Kurz nach dem Zwischenfall wurde bekannt, dass der Schädling über ein reguläres Update vom offiziellen Server des Spiele-Publishers auf die Computer der Spielefans gelangte. Zunächst wurde der Publisher selbst verdächtigt, seine Kunden auszuspionieren. Später wurde jedoch klar, dass Cyberkriminelle das Schadprogramm eingeschleust und es auf das Spieleunternehmen selbst abgesehen hatten.
Die Experten von Kaspersky Lab haben den Trojaner analysiert. Dabei hat sich herausgestellt, dass sich der Schädling als eine für die Windows 64-Bit-Architektur konzipierte Programmbibliothek (DLL-Datei) tarnt und den Angreifern ein voll funktionsfähiges Remote Administration Tool (RAT) zur Verfügung stellt. Damit lässt sich ein befallener Computer kontrollieren. Zudem ist der Trojaner das erste bösartige Programm auf einer 64-Bit-Windows Plattform mit gültiger digitaler Signatur.
In diesem Zusammenhang fanden die Kaspersky-Mitarbeiter auch heraus, dass mehr als 30 Unternehmen in der Spieleindustrie durch die Winnti-Gruppe infiziert wurden. Die Mehrheit der Online-Spieleentwickler ist in Südostasien angesiedelt. Doch auch Online-Spielepublisher mit Sitz in Deutschland, den Vereinigten Staaten, Japan, China, Russland, Brasilien, Peru und Weißrussland sind betroffen. Neben Industriespionage könnte die kriminelle Gruppe auch auf anderen Wegen Profit erzielen, so das Sicherheitsunternehmen. Dazu gehört zum Beispiel die Manipulation von Spiel-Währungen, wie zum Beispiel »Runen« oder »Gold«, die von Spielern dazu verwendet werden, virtuelles Geld in echtes Geld zu tauschen. Zudem lassen sich gestohlene Quellcodes von Online-Spiele-Servern dazu missbrauchen, Schwachstellen innerhalb der Spiele zu suchen und auszunutzen. Nicht zuletzt könnten von Servern gestohlene Quellcodes beliebter Online-Spiele von den Cyberkriminellen dazu verwendet werden, um eigene, illegale Server einzurichten.
Die Winnti-Gruppe ist derzeit weiterhin aktiv. Kaspersky arbeitet mit der Online-Gaming-Industrie und den Zertifizierungsstellen (CA) zusammen, um weitere infizierte Server zu finden. Zudem unterstützt der Sicherheitssoftware-Hersteller betroffene Unternehmen beim Widerruf der gestohlenen Zertifikate.
Lesen Sie mehr zum Thema
