sabato 13 aprile 2013

Kaspersky Lab, anello di cybercrime attacca società di gaming per anni


Il team di esperti di Kaspersky Lab ha pubblicato un report dettagliato che analizza la campagna di spionaggio informatico condotta dall'organizzazione criminale nota come "Winnti". Secondo il report di Kaspersky Lab, il gruppo Winnti attacca le aziende del settore del gaming online dal 2009 ed è ancora attivo. Gli obiettivi del gruppo sono i certificati digitali creati dai produttori di software legittimi e il furto della proprietà intellettuale, incluso il codice sorgente dei progetti per i giochi online. Il primo incidente risale all’autunno del 2011, quando un trojan venne rilevato su un numero di computer di utenti localizzati in tutto il mondo. 

Il legame tra i computer infetti era l’utilizzo di un particolare e molto diffuso gioco online. Poco dopo l'incidente, è emerso che il programma nocivo che aveva infettato i computer degli utenti era inserito all’interno un aggiornamento legittimo del server ufficiale della società proprietaria del gioco. Il malware era stato installato per spiare gli utenti infetti e i membri della community online. Successivamente è emerso che il programma nocivo è stato installato sui computer dei giocatori per puro caso, mentre i criminali informatici avevano come obiettivo la società di videogiochi. 

In risposta, l'editore del gioco proprietario dei server da cui sono partiti i trojan, ha chiesto a Kaspersky Lab di analizzare il programma nocivo. Il trojan si è rivelato una library DLL compilata per un ambiente Windows a 64 bit che utilizzava un disco rigido ufficiale. Il Remote Administration Tool (RAT) ha offerto poi la possibilità ai criminali informatici di controllare i computer delle vittime senza che l’utente lo venisse a sapere. Questa scoperta è particolarmente importante, in quanto questo trojan è stato il primo programma nocivo a 64 bit di Microsoft Windows 7 con una firma digitale valida. 


La DLL si fa passare per una delle librerie standard di Windows, Winmm.dll o apphelp.dll. Dal momento che nella stragrande maggioranza dei casi i campioni rilevati sono travestiti da winmm.dll, si suppone che la  maggior parte delle librerie dannose sono sotto questo nome nel resto del documento analizzato dagli esperti di Kasperksy Lab. Winmm.dll è una libreria di sistema di Windows che fornisce funzioni multimediali. Si trova nella cartella% WINDIR% \ System32. Ad esempio, Winmm.dll viene caricato da explorer.exe, che viene lanciato durante l'avvio del sistema operativo.

Se una DLL maligna di nome winmm.dll si trova nella stessa cartella del programma che dipende dalla libreria di sistema di questo nome, la DLL maligna verrà caricata quando questo programma viene eseguito al posto della libreria originale che si trova in% WINDIR% \ System32 \ Winmm.dll. Approfittando del loro controllo su un computer infetto, i criminali informatici mettono una libreria dannosa nella cartella% WINDIR%. La stessa cartella ospita anche il programma explorer.exe.

In questo modo gli attaccanti al fine di garantire che la DLL maligna venga caricato all'avvio del sistema: explorer.exe carica la Winmm.dll maligna dalla cartella% windir% non appena si lancia all'avvio del sistema. Ma come può un programma che dipende dalla libreria originale funzionare correttamente se una winmm.dll dannosa viene caricata al posto della libreria originale? Gli autori di malware hanno una risposta a questo: la libreria maligna è progettata per caricare la Winmm.dll originale dalla cartella% WINDIR% \ System32.

I criminali informatici non si sono preoccupati di sviluppare qualcosa di proprio per assicurare che la Winmm.dll originale venga caricata. Invece, hanno usato il noto programma AheadLib. Questo programma, che è stato progettato per facilitare l'analisi delle librerie dannose, è stato creato da uno sviluppatore cinese impiegato da un fornitore di antivirus. Il programma accetta una DLL come input e genera il codice C che aggancia le funzioni incluse nella libreria. Il codice C può essere compilato di nuovo in una DLL, che può quindi essere utilizzata per analizzare il comportamento dei file dannosi.

Gli esperti di Kaspersky Lab hanno iniziato ad analizzare la campagna del gruppo Winnti e hanno scoperto che più di 30 aziende del settore dei giochi online erano state infettate; la maggior parte di queste si trovano nel Sud Est Asiatico. Il gruppo Winnti ha colpito anche aziende presenti in Germania, Stati Uniti, Giappone, Cina, Russia, Brasile, Perù e Bielorussia. Oltre allo spionaggio industriale, gli esperti di Kaspersky Lab hanno individuato tre principali sistemi di monetizzazione che potrebbero essere stati utilizzati dal gruppo Winnti per generare profitto: 

• Gestire il flusso di moneta generato dai giochi online, come ad esempio "rune" o "oro" che viene utilizzato dai giocatori per convertire il denaro virtuale accumulato in denaro reale;
• Utilizzare il codice sorgente rubato dai server di gioco online per individuare la vulnerabilità all'interno dei giochi e velocizzare il processo di accumulo e manipolazione del denaro senza creare sospetti;
• Utilizzare il codice sorgente rubato dai server di giochi online per realizzare i propri server pirata.


Nei campioni Winnti che sono stati rilevati e analizzati, gli esperti di Kaspersky Lab hanno trovato 36 domini unici C & C. Molto probabilmente, questa è solo una piccola parte di tutti i doimini esistenti Winnti C & C. Ciò non sorprende dal momento che questi programmi dannosi sono utilizzati per eseguire attacchi mirati, quindi non sono disponibili informazioni su molti casi di infezione, per questo motivo, gli esperti di Kapersky Lab non hanno modo di ottenere campioni di malware utilizzato in questi attacchi non dichiarati.

La flessibilità di questi strumenti permette di personalizzare le logiche di un'applicazione dannosa durante l'analisi e il sovraccarico del codice funzioni per fornire un output di debug. Alcuni codici possono essere aggiunti per visualizzare i parametri delle funzioni intercettate al fine di scoprire quali valori vengono passati alle funzioni originali quando vengono chiamate. Questo metodo viene utilizzato nella cosiddetta analisi dinamica di applicazioni dannose. Ironia della sorte, gli autori di malware hanno scoperto che questa è l'applicazione ideale per la creazione di librerie maligne.

Attualmente il gruppo Winnti è ancora attivo e l’indagine di Kaspersky Lab è in corso. Il team di esperti dell’azienda sta collaborando con organizzazioni attive nel gioco online e con le autorità competenti per identificare ulteriori server infetti. Per leggere i post della ricerca Kaspersky Lab e il rapporto completo, visitare il sito Securelist. I prodotti Kaspersky Lab sono in grado di rilevare e neutralizzare i programmi nocivi e le relative varianti utilizzate dal gruppo Winnti, classificate come Backdoor.Win32.Winnti, Backdoor.Win64.Winnti, Rootkit.Win32.Winnti e Rootkit.Win64.Winnti.

Nessun commento:

Posta un commento