Игра киберпрестолов не терпит ни дня промедления, и вновь на арену выходят китайские хакеры Winnti. О них многое можно было бы рассказать – да и рассказывали, ведь написано немало докладов. Впервые исследователи «Лаборатории Касперского» обнаружили Winnti еще в 2011 году, а после этого за злоумышленниками продолжили наблюдать КБ-эксперты со всего мира.
В последнее время злоумышленники облюбовали игровые компании, реализуя таким образом атаки на цепочку поставок. По информации исследователей ESET, в ходе атаки злоумышленники успешно инфицировали бэкдорами две игры и одну игровую платформу, из-за чего пострадали десятки или даже сотни тысяч пользователей.
Хотя к настоящему моменту два продукта уже избавлены от бэкдоров, по-прежнему заражена игра Infestation («Заражение»), созданная тайскими разработчиками Electronics Extreme. Специалисты ESET пытались уведомить разработчиков о происходящем на протяжении всего февраля 2019 года, однако так и не сумели выйти с ними на связь. Всем поклонникам Infestation рекомендуется удалить игру как можно скорее.
Как пояснили исследователи, Winnti Group модифицировала исполняемые файлы трех продуктов одним и тем же способом. Работали злоумышленники следующим образом: вредоносный код внедряется в главный исполняемый файл. Далее вредонос запускается для выполнения в памяти ПК и в процессе выполнения защищен шифрованием. Сама игра/игровая платформа при этом работает как ни в чем не бывало. Из этого следует, что злоумышленники модифицировали не исходный код продукта, а только конфигурацию сборки.
Для распространения вредоносной версии продукта Winnti Group использует легитимный механизм рассылки обновлений. Таким образом группировке одним махом удалось заразить огромное число пользователей. По данным ESET, в настоящее время управляющие серверы злоумышленников не подают «признаков жизни», то есть бэкдоры не могут связаться с со своим «командным центром», получить команды и загрузить на компьютеры жертв дополнительную малварь. Какую именно роль должен был выполнять пейлоад второй стадии заражения, по этой причине узнать не удалось.
АКБ напоминает: в прошлом году стало известно, что действующая с 2009 года хакерская группировка Winnti (в разное время известная как BARIUM, GREF, PassCV, Wicked Panda, LEAD, Axiom и.т.д.), судя по инфраструктуре и методам, управляется китайской разведкой. Достаточные доказательства этого приведены в расследовании экспертов по кибербезопасности из ProtectWise. По данным специалистов В 2010 году в рамках «Операции Аврора» эти хакеры в течение полугода непрерывно атаковали крупнейшие западные компании, такие как Google и Adobe, что привело к дипломатическому конфликту Китая и США.
