(Foto: Christian Petersen / Getty Images)Leiti, et kurikuulus häkkimisrühm röövib Aasias mitut mänguettevõtet vähemalt ühe rünnakuga, mis on võimeline levitama pahavara kasutajate masinatesse.
Neljapäeval avaldas turvaettevõte ESET uue uuringu selle kohta, kuidas „Winnti Group” on edukalt imbunud mänguserveritesse populaarsete MMO (Massively Multiplayer Online) tiitlite taha.
ESET hoidus mõjutatud mänguettevõtteid nimetamast, kuid teatas, et need asuvad Lõuna-Koreas ja Aasias.
"Nende ettevõtete välja töötatud videomänge levitatakse kogu maailmas, need on saadaval populaarsetel mänguplatvormidel ja neil on tuhandeid üheaegseid mängijaid," lisas viirusetõrje müüja.
Vähemalt ühe rünnaku käigus õnnestus häkkeritel kaaperdada mänguettevõtte „build orchestration server”, mis võimaldas neil videomängu käivitatavate failide sisse pahavara istutada.
ESET ei ole siiski leidnud ühtegi tõendit, mille häkkerid oleksid kunagi otsustanud programmifaile varjata.
Järgmises rünnakus saavutasid häkkerid võimaluse oma rahalise kasu nimel manipuleerida mängu sees oleva virtuaalse valuutaga.
ESETi teadlased avastasid rünnakud, kui mänguettevõtete serveritest avastati pahavara.
Kuidas pahatahtlik kood, PipeMon, täpselt süsteemide sisse libiseda suutis, pole päris selge.
Kuid pahavara võib maskeerida programminimedena, sealhulgas setup.exe koos töökoha jututeenuse Slack käivitatava failiga slack.exe.
(Krediit: ESET) Häkkeritel õnnestus ka varastada ja lisada seaduslikelt mängupakkujatelt koodiallkirjastamise sertifikaadid PipeMoni.
Seetõttu suutis pahavara installimisel Windowsi turvakaitsetest mööda hiilida.
(Krediit: ESET) "Mitu näitajat viisid meid selle kampaania omistamisele Winnti grupile," ütles ESETi teadur Mathieu Tartare.
„Mõnda PipeMoni kasutatavat käsu- ja juhtimisdomeeni kasutas Winnti pahavara eelmistes kampaaniates.
Lisaks leiti 2019.
aastal samadest ettevõtetest mõni muu Winnti pahavara, mille avastati hiljem PipeMoniga 2020.
aastal.
"
Hea uudis on see, et ESET on võtnud ühendust kõigi mõjutatud mänguettevõtetega ja andnud juhiseid pahavara eemaldamiseks.
Samuti on tühistatud varastatud koodiallkirjastamise sertifikaadid.
Kuid Winnti Grupp lööb peaaegu kindlasti uuesti.
Võimalik, et Hiinas asuv häkkimismeeskond on pika ajalooga tunginud videomänguettevõtetesse, et nad varastaksid lähtekoodi ja koodide allkirjastamise sertifikaate.
ESET süüdistab Winnti gruppi ka selles, et ta tungis Avasti CCleaneri ja arvutimüüja Asusesse tagasi aastatel 2017 ja 2019, et istutada pahavara nende tarkvaraprogrammidesse, mida miljonid kliendid kasutavad.
(Foto: Christian Petersen / Getty Images)Leiti, et kurikuulus häkkimisrühm röövib Aasias mitut mänguettevõtet vähemalt ühe rünnakuga, mis on võimeline levitama pahavara kasutajate masinatesse.
Neljapäeval avaldas turvaettevõte ESET uue uuringu selle kohta, kuidas „Winnti Group” on edukalt imbunud mänguserveritesse populaarsete MMO (Massively Multiplayer Online) tiitlite taha.
ESET hoidus mõjutatud mänguettevõtteid nimetamast, kuid teatas, et need asuvad Lõuna-Koreas ja Aasias.
"Nende ettevõtete välja töötatud videomänge levitatakse kogu maailmas, need on saadaval populaarsetel mänguplatvormidel ja neil on tuhandeid üheaegseid mängijaid," lisas viirusetõrje müüja.
Vähemalt ühe rünnaku käigus õnnestus häkkeritel kaaperdada mänguettevõtte „build orchestration server”, mis võimaldas neil videomängu käivitatavate failide sisse pahavara istutada.
ESET ei ole siiski leidnud ühtegi tõendit, mille häkkerid oleksid kunagi otsustanud programmifaile varjata.
Järgmises rünnakus saavutasid häkkerid võimaluse oma rahalise kasu nimel manipuleerida mängu sees oleva virtuaalse valuutaga.
ESETi teadlased avastasid rünnakud, kui mänguettevõtete serveritest avastati pahavara.
Kuidas pahatahtlik kood, PipeMon, täpselt süsteemide sisse libiseda suutis, pole päris selge.
Kuid pahavara võib maskeerida programminimedena, sealhulgas setup.exe koos töökoha jututeenuse Slack käivitatava failiga slack.exe.
(Krediit: ESET) Häkkeritel õnnestus ka varastada ja lisada seaduslikelt mängupakkujatelt koodiallkirjastamise sertifikaadid PipeMoni.
Seetõttu suutis pahavara installimisel Windowsi turvakaitsetest mööda hiilida.
(Krediit: ESET) "Mitu näitajat viisid meid selle kampaania omistamisele Winnti grupile," ütles ESETi teadur Mathieu Tartare.
„Mõnda PipeMoni kasutatavat käsu- ja juhtimisdomeeni kasutas Winnti pahavara eelmistes kampaaniates.
Lisaks leiti 2019.
aastal samadest ettevõtetest mõni muu Winnti pahavara, mille avastati hiljem PipeMoniga 2020.
aastal.
"
Hea uudis on see, et ESET on võtnud ühendust kõigi mõjutatud mänguettevõtetega ja andnud juhiseid pahavara eemaldamiseks.
Samuti on tühistatud varastatud koodiallkirjastamise sertifikaadid.
Kuid Winnti Grupp lööb peaaegu kindlasti uuesti.
Võimalik, et Hiinas asuv häkkimismeeskond on pika ajalooga tunginud videomänguettevõtetesse, et nad varastaksid lähtekoodi ja koodide allkirjastamise sertifikaate.
ESET süüdistab Winnti gruppi ka selles, et ta tungis Avasti CCleaneri ja arvutimüüja Asusesse tagasi aastatel 2017 ja 2019, et istutada pahavara nende tarkvaraprogrammidesse, mida miljonid kliendid kasutavad.
