La organización cibercriminal “Winnti” compromete los sistemas de las compañías de juegos.
La organización cibercriminal “Winnti” compromete los sistemas de las compañías de juegos.
Moscú, Rusia.- El equipo de especialistas de Kaspersky Lab publicó hoy un informe de investigación detallado que analiza la campaña de ciberespionaje llevada a cabo por la organización cibercriminal conocida como “Winnti”, según un comunicado.
El informe indica que el grupo Winnti ataca compañías en la industria de juegos en línea desde 2009 y actualmente sigue en actividad. Los objetivos del grupo son robar certificados digitales firmados por revendedores de software legítimos, además del hurto de propiedad intelectual, incluso de códigos fuente de proyectos de juegos en línea.
El primer incidente que atrajo la atención a las actividades delictivas del grupo Winnti ocurrió en el segundo semestre de 2011, cuando se detectó un troyano malicioso en un gran número de computadoras de usuarios finales en todo el mundo. La clara conexión entre todas las computadoras infectadas es que en todas ellas se jugaba un popular juego en línea. Poco tiempo después del incidente, se descubrió que el programa malicioso que había infectado a esas computadoras era parte de una actualización regular del servidor oficial de la compañía de juegos. Los usuarios infectados y miembros de la comunidad de jugadores sospecharon que la compañía de juegos estuviera instalando el malware para espiar a sus clientes. Sin embargo, más tarde se supo que el programa malicioso se había instalado en las computadoras de los jugadores por accidente y que los cibercriminales en realidad estaban atacando a las propias compañías.
El troyano resultó ser una biblioteca DLL recopilada para un ambiente Windows de 64 bits, usando un drive malicioso con una firma legítima. Era una herramienta de administración remota (Remote Administration Tool, RAT), que permite que los atacantes controlen una computadora sin que el usuario se dé cuenta. Fue un descubrimiento significativo, dado que ese troyano fue el primer programa malicioso en una versión de Microsoft Windows de 64 bits con una firma digital válida.
Los especialistas comenzaron a analizar la campaña del grupo Winnti y descubrieron que más de 30 compañías de la industria de video habían sido infectadas por el grupo, la mayor parte de ella compañías de desarrollo de software que producen videojuegos en línea en el Sudeste Asiático. No obstante, compañías de juegos en línea en Alemania, Estados Unidos, Japón, China, Rusia, Brasil, Perú y Bielorrusia también fueron víctimas del grupo Winnti.
