Перейти к содержанию

«Лаборатория Касперского» раскрыла серию целевых атак на игровые компании


Рекомендуемые сообщения

Хакерская группа Winnti уже несколько лет тайком наживается с помощью целевых атак на производителей и издателей компьютерных онлайн-игр. К такому выводу пришли аналитики «Лаборатории Касперского» в ходе детального исследования вредоносного ПО, обнаруженного в игровых компаниях. О его результатах и возможной схеме монетизации данных рассказывают антивирусные эксперты «Лаборатории Касперского» в исследовании «Winnti. Это вам не игрушки».

 

Осенью 2011-го года на компьютеры огромного количества игроков одной из популярных онлайн-игр вместе с обновлениями игры попал троянец. Но, как выяснилось впоследствии, настоящей мишенью злоумышленников были не игроки, а компании, занимающиеся разработкой и издательством компьютерных игр. Игровая компания, с серверов которой распространился троянец, обратилась к «Лаборатории Касперского» с просьбой проанализировать вредоносную программу, которую сотрудники компании обнаружили на сервере обновлений. Обнаруженное вредоносное ПО обладало функционалом бэкдора, который скрытно от пользователя предоставлял возможность злоумышленникам управлять зараженным компьютером.

 

В ходе исследования было обнаружено, что подобное вредоносное ПО уже детектировалось ранее и значится в коллекции «Лаборатории Касперского». Теперь семейство таких зловредов известно под названием Winnti. Соответственно, людей, стоящих за атаками с использованием этого средства удаленного управления, также стали называть «группа Winnti».

 

Подробный анализ образцов Winnti позволил выявить несколько ключевых фактов об атаках. За время существования Winnti не менее 35 компаний были когда-либо заражены этой группой злоумышленников, и действует эта группа уже довольно давно — как минимум с 2009-го года. Географию распространения зловреда также можно считать глобальной: атакованные компании расположены по всему миру — в Германии, США, Японии, Китае, России и многих других странах. Однако у группы Winnti наблюдается тяготение к странам Восточной Азии: количество обнаруженных угроз там выше. Кроме того, в ходе исследования было выяснено, что за организацией киберпреступлений стоят хакеры китайского происхождения, а фирменным стилем этой группы стала кража сертификатов у атакованных компаний и последующее их использование для новых атак.

 

map.png

 

Страны, в которых обнаружены пострадавшие игровые компании

 

Результаты исследования наглядно продемонстрировали, что атакам такого рода может быть подвержена любая организация, данные которой можно эффективно монетизировать. Эксперты «Лаборатории Касперского» выделили 3 основные схемы монетизации кампании Winnti:

 

- нечестное накопление игровой валюты/«золота» в онлайн-играх и перевод виртуальных средств в реальные деньги;

 

- кража исходников серверной части онлайн-игр для поиска уязвимостей в играх, что может привести к описанному выше методу нечестного обогащения;

 

- кража исходников серверной части популярных онлайн-игр для последующего развертывания пиратских серверов.

 

«Наше исследование выявило длительную широкомасштабную кампанию кибершпионажа со стороны криминальной группы, имеющей китайское происхождение. Основной целью атакующих стала кража исходных кодов игровых проектов компаний и цифровых сертификатов. Кроме того, злоумышленников интересовали данные об организации сетевых ресурсов, включая игровые серверы, и новых разработках: концептах, дизайне и т.п., — заключает один из авторов отчета антивирусный эксперт «Лаборатории Касперского» Виталий Камлюк. — В ходе расследования нам удалось предотвратить передачу данных на сервер злоумышленников и изолировать зараженные системы в локальной сети компании».

 

Подробный отчет об исследовании атак на игровые компании можно прочитать на www.securelist.com/ru.

 

Источник: http://www.kaspersky.ru/news?id=207733986

Ссылка на комментарий
Поделиться на другие сайты

  • 4 weeks later...

Да задолбали гады, больше недели уже в Battlefield 3 поиграть нельзя нормально. http://battlelog.battlefield.com/bf3/ru/fo...54348518858396/

Изменено пользователем Saimonalex
Ссылка на комментарий
Поделиться на другие сайты

Сейчас уже ни каким атакам не удивишься.

 

Оп, и у тебя уже воруют данные при выключенном компьютере. Ну а если серьезно, то угрозы такого типа можно было предсказать, ясно же что читами дело не ограничится

Ссылка на комментарий
Поделиться на другие сайты

Оп, и у тебя уже воруют данные при выключенном компьютере.

Я не удивлюсь если электронные данные будут воровать у того, у кого нет электроники(компа и прочего). :angry:

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Крупные онлайн-сервисы купли-продажи прилагают значительные усилия по борьбе с мошенничеством, но киберпреступники постоянно изобретают все новые схемы обмана как покупателей, так и продавцов. В этом году популярность получила схема с онлайн-видеозвонком: «покупатели» просят показать им товар по видео, а на самом деле выманивают коды доступа в банк. Мошенническая схема в четырех актах.
      Акт первый. Подозрение
      К продавцу дорогостоящего или сложного товара (например, телевизора) обращается покупатель, который готов сразу же перевести оплату и максимально быстро забрать товар. Но есть нюанс — сначала он просит показать товар по видео. Функциональность большинства онлайн-барахолок не предусматривает такую возможность, а если она есть, то по «счастливой» случайности оказывается мошеннику неудобна: «Вы знаете, у меня почему-то тут не работает звонок, давайте лучше в WhatsApp?» Так разговор плавно перетекает в мессенджер. Переход в WhatsApp, Telegram или любое другое средство общения помимо официального инструмента площадки объявлений — это красный флаг. На своей территории мошенникам гораздо проще, например, заманить вас на фишинговый сайт, потому что многие онлайн-барахолки попросту не разрешают делиться в чате никакими ссылками.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Серьезные ИБ-инциденты порой затрагивают многих участников, зачастую и тех, кто повседневно не занимается вопросами ИТ и ИБ. Понятно, что в первую очередь усилия сосредоточиваются на выявлении, сдерживании и восстановлении, но, когда пыль немного осядет, наступает время для еще одного важного этапа реагирования — извлечения уроков. Чему можно научиться по итогам инцидента? Как улучшить шансы на успешное отражение подобных атак в будущем? На эти вопросы очень полезно ответить, даже если инцидент не принес существенного ущерба из-за эффективного реагирования или просто удачного стечения обстоятельств.
      Немного о людях
      Разбор инцидента важен для всей организации, поэтому к нему обязательно привлекать не только команды ИТ и ИБ, но также высшее руководство, бизнес-владельцев ИТ-систем, а также подрядчиков, если они были затронуты инцидентом или привлекались к реагированию. На встречах этой рабочей группы нужно создать продуктивную атмосферу: важно донести, что это не поиск виноватых (хотя ошибки будут обсуждаться), поэтому перекладывание ответственности и манипулирование информацией исказят картину, повредят анализу и ухудшат позицию организации в долгосрочной перспективе.
      Еще один важный момент: многие компании скрывают детали инцидента в страхе за репутацию или опасаясь повторной кибератаки по тому же сценарию. И хотя это вполне объяснимо и некоторые подробности действительно конфиденциальны, нужно стремиться к максимальной прозрачности в реагировании и делиться подробностями атаки и реагирования если не с широкой публикой, то как минимум с узким кругом коллег из сферы ИБ, которые могут предотвратить похожие атаки на свои организации.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Тенденция к использованию в массовых рассылках уловок, характерных для целевого фишинга продолжает нарастать. Недавно нам попался образец письма, в котором атакующие использовали целую коллекцию достаточно сложных трюков. Казалось бы, применять их все в массовой фишинговой атаке — смысла не много. И тем не менее злоумышленники не поленились. (Хотя, как выяснилось при подробном анализе, атака была обречена на провал.) Мы решили, что это отличный повод для того, чтобы описать используемые фишерами приемы.
      Письмо, имитирующее рассылку корпоративных гайдлайнов
      В письме прекрасно практически все. Оно адресовано конкретному человеку в конкретной организации, при этом в имени отправителя используется прием Ghost Spoofing, то есть в поле From забита имитация легитимного адреса компании, в которой работает жертва (но, разумеется, не имеющая отношения к адресу из поля Reply To).
      Рассылается письмо через инфраструктуру легитимной маркетинговой компании с хорошей репутацией, что не вызывает подозрений у почтовых фильтров. Вдобавок название этой компании и домен верхнего уровня, на котором размещен ее сайт, подобраны таким образом, чтобы усыплять бдительность получателя, — сайт находится в Индонезии, и домен .id может восприниматься вообще не как часть адреса, а как сокращение от слова идентификатор. Рядом с имитацией адреса, забитой в поле From, это выглядит достаточно натурально.
      Письмо, имитирующее рассылку корпоративных гайдлайнов.
       
      View the full article
    • Elly
      От Elly
      Друзья!
       
      «Лабораторией Касперского» разработано множество защитных решений для домашних пользователей. Предлагаем вам поучаствовать в викторине, ответить на двадцать сложных вопросов о защитных решениях «Лаборатории Касперского», особенностях их функционирования, свойствах и узнать для себя что-то новенькое. При поиске ответов рекомендуется использовать в качестве достоверных источников информации только официальные сайты «Лаборатории Касперского». Каждый вопрос относится к актуальной версии соответствующей программы, если в самом вопросе не указано иное.
       
      НАГРАЖДЕНИЕ
      Без ошибок — 2 000 баллов Одна ошибка — 1700 баллов Две ошибки — 1200 баллов Баллами можно оплатить лицензии и сувениры в магазине Клуба. 
       
      ПРАВИЛА ПРОВЕДЕНИЯ

      Викторина проводится до 20:00 09 ноября 2024 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю@Mrak (пользователей @andrew75, @oit и @Ellyвключать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю@Ellyчерез систему личных сообщений.

      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
    • KL FC Bot
      От KL FC Bot
      Игра Battle City, более известная как танчики, — символ давно ушедшей эпохи. Около 30 лет назад геймеры вставляли картридж в приставку, садились за пузатые телевизоры и пачками уничтожали вражеские танки до тех пор, пока кто-нибудь им не скажет про «кинескоп, который вот-вот должен сесть».
      Сегодня мир совсем другой, а танчики по-прежнему популярны. Дело в том, что современные аналоги предлагают геймерам не только поиграть, но и заработать NFT-токены. Злоумышленники тоже кое-что предлагают: сложную атаку для любителей криптовалютных игр.
      Бэкдор и эксплойт уязвимости нулевого дня в Google Chrome
      Эта история началась в феврале 2024 года, когда наше защитное решение обнаружило проникновение бэкдора Manuscrypt на компьютер пользователя из России. Такой бэкдор нам давно известен, его различные версии используют члены группировки APT Lazarus как минимум с 2013 года. Но что особенного в этой истории, если мы прекрасно знаем основной инструмент и методы работы злоумышленников?
      Дело в том, что эти хакеры обычно нацелены на крупные организации: банки, IT-компании, университеты и даже правительственные организации. Теперь руки Lazarus дотянулись до физических лиц — бэкдор на компьютере частного пользователя! Киберпреступники заманили жертву на сайт игры и получили полный доступ к ее компьютеру. Злоумышленникам удалось это сделать благодаря трем составляющим:
      невероятному желанию жертвы сыграть в любимые танчики в новой оболочке; уязвимости нулевого дня в Google Chrome; наличию эксплойта, позволявшего удаленно выполнить код в процессе Google Chrome. Для тех, кто переживает: компания Google выпустила обновление браузера, заблокировала сайт танчиков и поблагодарила исследователей безопасности «Лаборатории Касперского». Но на всякий случай: наши продукты детектируют и бэкдор Manuscrypt, и эксплойт. Подробности этой истории мы раскрыли в блоге Securelist.
       
      View the full article
×
×
  • Создать...