Целевые атаки (APT – advanced persistent threat) далеко не всегда сосредоточены на госучреждениях и военных секретах. Киберпреступники могут потратить время, деньги и силы на «взлом» обычной компании, если четко понимают, какую получат выгоду. Это наглядно доказывают результаты годичного расследования, которое провели аналитики «Лаборатории Касперского», обнаружив преступную группу, целенаправленно шпионящую за компаниями –разработчиками видеоигр.
Хотя мишенью злоумышленников были исключительно компьютеры игровых компаний, первые признаки заражения удалось обнаружить на компьютерах обычных игроков. В результате ошибки хакеров один из троянец попал на сервер обновлений и был загружен с него на машины играющих, где обнаружен внимательными пользователями. Троянец сразу привлек внимание аналитиков, поскольку являлся полноценным средством дистанционного доступа к компьютеру (RAT – remote administration tool), давая хакеру полную свободу действий на зараженном ПК. Кроме того, входящий в его состав драйвер был подписан подлинным и действительным сертификатом, поэтому установка зловреда могла проходить без тревожащих пользователя предупреждений.
Расследование причин, по которым такой файл мог оказаться на сервере обновлений, вскрыло полномасштабную схему кибершпионажа, реализованную по всем законам голливудских боевиков. Сначала с помощью персонально написанных фишинговых писем конкретным сотрудникам компании-разработчика подсовывали вредоносное вложение. После успешного инфицирования машины троянец, названный Winnti, скачивал с командных серверов множество модулей дистанционного управления компьютером и «рапортовал» об обстановке. Затем один из преступников вручную подключался к компьютеру, оценивал ситуацию и принимал решение, стоит ли продолжать шпионаж. Если нет – с машины быстро зачищались все следы шпиона. Если да – злоумышленники собирали все, до чего можно дотянуться, но особый фокус и главная задача преступников состояли в краже исходных кодов игр и сертификатов компании-разработчика. Благодаря наличию исходных кодов преступники могли находить уязвимости в игровых серверах и создавать схему «накручивания» виртуальных богатств, либо запускать альтернативные пиратские игровые серверы и продавать к ним доступ по дешевке. Что до сертификатов, то они использовались для подписания новых вредоносных программ, а также, вероятно, перепродавались другим преступникам, поскольку некоторые украденные сертификаты «засветились» в других криминальных схемах и политическом кибершпионаже.
Поскольку игровая индустрия является по-настоящему глобальной и у больших компаний есть филиалы по всему миру, а вопросы локализации и переиздания вынуждают разработчиков очень тесно сотрудничать и организовывать друг другу сетевой доступ, преступники могли использовать одну зараженную сеть в качестве плацдарма для проникновения в новые фирмы. Хотя точный масштаб бедствия определить сложно, понятно, что атаке подверглись несколько десятков компаний в России, Германии, США, Китае, Южной Корее и многих других странах.
Хотя целями криминальной группы были компании-разработчики игр, последствия атак отразятся и на обычных игроках. Во-первых, неучтенные разработчиками игровая валюта и предметы создают дисбаланс в игровом мире, где все параметры, включая денежную массу, точно подсчитаны. Во-вторых, компании, у которых украдены плоды многолетних трудов, возможно, не смогут окупить затраты на разработку из-за того, что часть игроков перешли на пиратские серверы, а это, в свою очередь, может критически отразиться на поддержке игры вообще. В-третьих, как уже было в начале атаки, через серверы обновлений можно закачивать вредоносные программы всем игрокам. У нас нет доказательств, что Winnti целенаправленно заражает игроков через зараженные компании, но мы не исключаем такой возможности. Подобное задание может быть хорошо оплаченным заказом со стороны.
Чтобы избежать этой последней угрозы, имеет смысл принять пару предосторожностей:
- Обратите внимание на настройки особого «игрового» режима, который есть у многих защитных решений. Обычно антивирус в полноэкранном (игровом) режиме не выводит предупреждающих сообщений и сводит к минимуму проверки, чтобы не замедлять систему. Убедитесь, что выбранное действие при обнаружении заражения безопасно – блокировка объекта, карантин и так далее, но не пропуск.
- Используйте полноценное защитное решение, включающее антивирус, поведенческий контроль, межсетевой экран (файрволл) и другие компоненты. Регулярно обновляйте его и серьезно относитесь к предупреждающим сообщениям, даже если они касаются файлов, пришедших из надежного на ваш взгляд источника, такого как апдейт-сервер игры.
- Найденные нами разновидности вредоносных приложений семейства Winnti обнаруживаются защитными решениями «Лаборатории Касперского» (детектируются как Backdoor.Win32.Winnti, Backdoor.Win64.Winnti, Rootkit.Win32.Winnti и Rootkit.Win64.Winnti).
Ну и конечно, самый общий совет, который можно дать игрокам, – не поддерживайте черный рынок. Подключение к неофициальным серверам – это стимул киберпреступникам атаковать игроделов вновь и вновь. А каждая атака – еще один кирпич в стене между всеми нами и новыми хорошими играми, которые кто-то должен для нас сделать.