Kaspersky: Hackergruppe infiltrierte Anbieter von Onlinespielen

Die Sicherheitsfirma Kaspersky Lab hat die Aktivitäten einer Gruppe namens „Winnti“ erforscht, die seit 2009 Server von mindestens 35 Entwicklern und Publishern von Onlinespielen infiltriert hat. Es ging dem Hackerring offenbar darum, Quellcode, virtuelle Währung und digitale Zertifikate zu entwenden. Vor allem Firmen in Südostasien waren die Angriffsziele, betroffen waren aber auch Anbieter in den USA, Deutschland, Russland sowie lateinamerikanischen Ländern.

Die Attacken laufen noch immer und zielen laut Kaspersky vor allem auf Onlinerollenspiele ab, die oft über Millionen Nutzer in verschiedenen Ländern verfügen. Der angerichtete Schaden lässt sich jedoch kaum einschätzen, da die Sicherheitsfirma keinen vollen Zugang zu allen infizierten Servern bekam.

Winnti greift vor allem in Südostasien, aber auch in USA und Deutschland an (Bild: Kaspersky Lab)

Auf den Plan gerufen wurde Kaspersky, als Malware sich weltweit auf Computern verbreitete, die den Spielern eines beliebten, im Bericht jedoch nicht genannten Onlinespiels gehörten. Im Auftrag des Betreibers fand die Sicherheitsfirma heraus, dass die Malware durch ein Update über den Server des Spielepublishers verbreitet wurde. Den Angreifern war es gelungen, Systeme des Unternehmens zu kompromittieren. Die weitere Untersuchung ergab dann, dass andere Spielefirmen mit ähnlichen Methoden infiltriert wurden.

Die auf dem Server gefundene Malware entpuppte sich als DLL-Bibliothek, die für eine 64-Bit-Windows-Umgebung kompiliert war und sogar über einen ordnungsgemäß signierten Treiber verfügte. Sie enthielt eine Hintertür für die Datenübertragung und gab den Angreifern volle Kontrolle über befallene Rechner der Spieler, ohne dass die Nutzer es bemerkten.

Im Weiteren konnte eine Reihe ähnlicher Hintertüren für 32-Bit- wie auch 64-Bit-Versionen von Windows identifiziert werden. Kaspersky übernahm für sie den bereits von Symantec geprägten Namen Winnti und übertrug ihn auch auf die dahinterstehende Hackergruppe. Diese war offenbar schon seit 2007 in Erscheinung getreten, hatte sich aber erst ab 2009 auf die Spielebranche kapriziert.

„Unsere Untersuchung hat das langfristig orientierte und umfangreiche Cyberspionage-Programm einer kriminellen Gruppe mit chinesischen Ursprüngen aufgedeckt“, berichtet die Sicherheitsfirma in einer veröffentlichten Analyse. „Solche Attacken sind nicht neu, viele andere Sicherheitsforscher haben Einzelheiten über cyberkriminelle Gruppierungen aus China veröffentlicht. Diese Hackergruppe hebt sich jedoch durch einige Eigenschaften von anderen ab.“

Dazu gehören laut Kaspersky der umfangreiche Einsatz digitaler Signaturen. Die Hacker hätten bei einem Opfer entwendete Signaturen zum Angriff auf andere Unternehmen verwendet und dort weitere digitale Zertifikate gestohlen. Diese hätten sie wiederum an andere Gruppen weiterverkauft, die sie anschließend für ganz andere Attacken einsetzten. „Wir fanden außerdem heraus, dass die Winnti-Gruppe eine beliebte Hintertür nutzte, die als PlugX bekannt und ebenfalls chinesischen Ursprungs ist“, heißt es weiter in Kasperskys Bericht. „Diese Hintertür wurde zuvor fast ausschließlich bei Angriffen gegen tibetanische Aktivisten beobachtet.“

[mit Material von Ellyne Phneah, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.