Tecnología

Ciberespionaje en la industria del videojuego

Escrito por Redacción TICbeat

La organización cibercriminal Winnti ha estado atacando a empresas de la industria del juego online desde 2009 y actualmente sigue en activo.

Adquirir certificados digitales firmados por los proveedores de software y robar propiedad intelectual, incluyendo el código fuente de los proyectos de los juegos online son algunos de los objetivos de la organización cibercriminal conocida como Winnti y cuyas acciones ha descubierto y hecho públicas la firma de seguridad rusa Kaspersky Lab.

En realidad el primer incidente que llamó la atención sobre las actividades maliciosas de Winnti se produjo en otoño de 2011, cuando un troyano malicioso fue detectado en un gran número de equipos en todo el mundo. “El vínculo común entre todos los usuarios infectados era que jugaban a un popular juego online –explican desde Kaspersky–. Poco después del incidente, se comprobó que el programa malicioso que había infectado los ordenadores de los usuarios formaba parte de una actualización periódica del servidor oficial de la compañía de videojuegos”.

Los usuarios y los miembros de la comunidad de jugadores sospechaban que el editor del juego había instalado el malware para espiar a sus clientes. No obstante luego se descubrió que el programa malicioso se instaló por error en los equipos de los usuarios y que el ataque en realidad iba dirigido a la compañía de videojuegos.

Como respuesta, dicha compañía pidió a Kaspersky Lab que analizara la muestra que sus empleados habían descubierto en el servidor de actualizaciones. Fue entonces cuando se vio que era una biblioteca DLL compilada para las versiones de 64 bits de Windows. “Esta biblioteca maliciosa afectaba a los equipos de los jugadores que usaban tanto la versión de 32 bits, como la de 64 bits del sistema operativo”.

Control del ordenador del usuario

La biblioteca DLL descubierta era una herramienta de administración remota totalmente funcional (RAT) que da a los atacantes la capacidad de controlar el ordenador de la víctima sin el conocimiento del usuario. Este troyano ha sido el primer programa malicioso en una versión de 64 bits de Microsoft Windows 7 con una firma digital válida.

Según el análisis realizado por Kaspersky más de 30 empresas de la industria del juego online habían sido infectadas por Winnti. Aunque la mayoría eran empresas de desarrollo de software que producen juegos online en el sudeste de Asia, también se vieron afectadas empresas de juego online ubicadas en Alemania, Estados Unidos, Japón, China, Rusia, Brasil, Perú y Bielorrusia.

Además de espionaje industrial, el grupo generaba ganancias ilegales mediante la manipulación de la moneda en el juego que utilizan los jugadores para convertir el dinero virtual en dinero real; usando el código fuente robado de los servidores de los juegos online en busca de vulnerabilidades para aumentar y acelerar la manipulación de la moneda virtual y su acumulación sin levantar sospechas; y finalmente utilizando el código fuente robado de los servidores con el fin de implementar sus propios servidores piratas.

En la actualidad el grupo Winnti sigue activo, según informan desde Kaspersky Lab, cuyos expertos siguen trabajando junto a la comunidad de seguridad TI, la industria del juego online y las autoridades de certificación para identificar otros servidores infectados.

 

Foto cc Ocular Invasion

Sobre el autor de este artículo

Redacción TICbeat

Actualidad y análisis en tecnología, tendencias, aplicaciones web, seguridad, educación, social media y las TIC en la empresa.