Çevrim İçi Oyuncular Dikkat!

Güvenli içerik yönetim çözümleri alanındaki lider şirket Kaspersky Lab'in uzman ekibi bugün "Winnti" olarak bilinen siber suç örgütü tarafından başlatılan siber casusluk kampanyasını analiz eden detaylı bir araştırma yayınladı.

Kaspersky Lab'in raporuna göre, Winnti grubu çevrimiçi oyun sektöründe bulunan firmalara 2009 yılından bu yana saldırılarda bulunuyor ve bugün hala aktif olarak çalışıyor. Bu grubun amacı, fikri mülkiyet hırsızlığının yanı sıra yetkili yazılım sağlayıcılar tarafından imzalanmış dijital sertifikaları ve çevrimiçi oyun projelerinin kaynak kodlarını ele geçirmek…

Winnti grubunun kötü niyetli aktiviteleri, ilk defa zararlı bir trojan'ın küresel çapta birçok kullanıcının bilgisayarlarında tespit edildiği 2011 yılının sonbaharında dikkatleri çekti. Etkilenen bilgisayarların ortak noktası ise bunların popüler bir çevrimiçi oyun oynarken kullanılmış olmalarıydı. Bu olaydan kısa bir süre sonra, kullanıcıların bilgisayarlarını etkileyen kötü amaçlı bu programın aslında oyun firmasının resmi sunucusu üzerinden düzenli olarak yapılan güncellemenin bir parçası olduğu ortaya çıktı. Etkilenen kullanıcılar ve oyun topluluğunun üyeleri, bilgisayar oyunu sağlayıcılarının müşterilerini gizlice gözetlemek için böyle bir kötü amaçlı yazılım yüklemiş olabileceklerinden şüphelendiler. Ancak daha sonra anlaşıldı ki, bu zararlı program oyun oynayanların bilgisayarlarına yanlışlıkla yüklenmişti ve siber suçluların asıl hedefi video oyun firmasının kendisiydi.

KURBANLARIN BİLGİSAYARLARINI UZAKTAN KONTROL EDİYORLAR

Buna cevap olarak, kullanıcılarına trojan yayan sunucuların sahibi olan bilgisayar oyunu sağlayıcısı, Kaspersky Lab firmasından bu zararlı programı analiz etmesini istedi. Bu analiz sonucunda, Trojan'ın 64 bit Windows ortamı için derlenmiş bir DLL kitaplığı ve doğru bir şekilde imzalanmış zararlı bir sürücü olduğu ortaya çıktı. Programda yer alan "Uzaktan Yönetim Aracı (RAT)" saldırganlara, kurbanların bilgisayarlarını onların haberi olmadan kontrol etme imkanı veriyordu. Bu ayrıca, trojan'ın Microsoft Windows'un 64 bit sürümünde geçerli bir dijital imzası olan ilk zararlı program olduğunu ortaya çıkaran önemli bir buluştu.

Kaspersky Lab uzmanları Winnti grubunun kampanyasını analiz etmeye başladı ve çoğunluğu Güneydoğu Asya'da bulunan çevrimiçi video oyunları üreten yazılım geliştirme firmalarının oluşturduğu video sektöründeki 30'un üzerinde firmanın Winnti grubu tarafından etkilendiğini ortaya koydu. Bununla birlikte, Almanya, Amerika, Japonya, Çin, Rusya, Brezilya, Peru ve Belarus'ta bulunan çevrimiçi oyun firmaları da Winnti grubunun kurbanları arasında yer alıyor.

BU YÖNTEMLERLE PARA KAZANIYORLAR

Sanayi casusluğuna ek olarak, Kaspersky Lab uzmanları Winnti grubu tarafından yasadışı kar elde etmek için kullanılma ihtimali olan üç temel para kazanma planı üzerinde duruyor:

· Oyuncular tarafından sanal parayı gerçek paraya dönüştürmek için kullanılan "madalya" veya "altın" gibi oyun içi paranın toplamıyla oynamak.

· Oyun içi paranın ve toplamının manipülasyonunu şüphe çekmeden artırmak ve hızlandırmak amacıyla oyunların içindeki zayıflıkları araştırmak için çevrimiçi oyun sunucularından çaldıkları kaynak kodunu kullanmak

· Kendi korsan sunucularını dağıtmak için popüler çevrimiçi oyunların sunucularından çaldıkları kaynak kodunu kullanmak.

Winnti grubu hala aktif olarak çalışıyor ve Kaspersky Lab'in bu konudaki araştırmaları devam ediyor. Firmanın uzman takımı, etkilenen diğer sunucuları tanımlamak adına BT güvenlik topluluğu, çevrimiçi oyun sektörü ve sertifika yetkilileri ile birlikte çalışmalarını özenli bir şekilde sürdürürken, çalınan dijital sertifikaların iptali konusunda da destek oluyor.

Kaspersky Lab'in Winnti grubunun kampanyası ile ilgili araştırmanın, eksiksiz teknik analizlerini de içeren detaylı raporunun tamamına ulaşmak için lütfen Securelist'i ziyaret ediniz.

Kaspersky Lab' ürünleri sayesinde Winnti grubu tarafından kullanılan aşağıda belirtilen zararlı programları ve bunların değişkenlerini tespit edebilir ve etkisiz hale getirebilirsiniz: Backdoor.Win32.Winnti, Backdoor.Win64.Winnti, Rootkit.Win32.Winnti ve Rootkit.Win64.Winnti.