Hace poco, el equipo de expertos de Kaspersky Lab publicó un informe detallado sobre una operación prolongada de ciberespionaje a cargo de la organización cibercriminal conocida como Winnti.
Según el informe, el grupo Winnti ha estado atacando a las compañías de la industria de los videojuegos de Internet desde 2009 y sigue activo.
Los objetivos del grupo son robar certificados digitales firmados por vendedores de software legítimo además del robo de propiedad intelectual, como el de los códigos fuente de sus proyectos de juegos de Internet.
La herramienta favorita de los atacantes es el programa malicioso que llamamos “Winnti”. El programa ha evolucionado desde sus orígenes, pero todas sus variantes se pueden dividir en dos generaciones: 1.x y 2.x. Nuestra publicación describe ambas variantes de esta herramienta.
En nuestro informe, publicamos un análisis de la primera generación de Winnti (en inglés).
La segunda generación (2.x) se utilizó en uno de los ataques que investigamos durante su etapa activa, ayudando a la víctima a interrumpir la transferencia de datos y aislar las infecciones de la red corporativa. Nuestro informe completo en PDF del grupo Winnti indaga sobre los incidentes y los resultados de nuestra investigación.
Aquí se puede ver el Resumen Ejecutivo.
¿Es una investigación sobre un troyano de juegos de 2011? ¿Por qué crees que es relevante?
Esta es una investigación sobre un grupo de operaciones de ciberespionaje y una organización criminal que ha irrumpido de forma masiva en muchas compañías de software y juega un rol muy importante en las operaciones de ciberespionaje de otros usuarios maliciosos.
Es importante estar consciente de esta amenaza para comprender de forma más general los ciberataques que provienen de Asia. Tras infectar a las compañías de juegos que operan en el espacio MMORPG, los atacantes podrían tener acceso a millones de usuarios. Hasta ahora, no tenemos información que confirme que los atacantes hayan robado a usuarios comunes, pero conocemos por lo menos 2 incidentes en los que el malware Winnti se instaló en los servidores de actualización de un juego en línea y sus ejecutables maliciosos se propagaron entre un gran número de jugadores de Internet. Los ejemplares que observamos no parecen malware que ataque a los jugadores, sino módulos de malware que acabaron en el lugar equivocado por error.
Pero la posibilidad de que los atacantes aprovechen el acceso que tienen para infectar a cientos de millones de usuarios de Internet es un riesgo global significativo.
Es importante tener en cuenta que muchas compañías de juegos no sólo hacen negocios con los juegos, sino que a la vez son desarrolladoras o publicadoras de otro tipo de programas. Vimos un incidente en el que una compañía comprometida publicó una actualización para su programa que incluía un troyano del grupo de hackers Winnti. Eso se convirtió en un medio de infección para comprometer a otra compañía que, a su vez, causó el filtrado de datos de un gran número de sus clientes.
Hasta ahora, nuestra investigación ha descubierto que éste es un grupo malintencionado que juega sucio y tiene un gran impacto en la confianza de los vendedores de software en general, en especial en las regiones en las que sigue activo.
¿Cuáles son las funciones nocivas de este troyano?
El troyano o, para ser preciso, el paquete de infección llamado Winnti, incluye varios módulos para que se pueda tener acceso remoto con propósitos generales a los equipos comprometidos. Esto incluye la recolección de información general sobre el sistema, la gestión de archivos y procesos, la creación de cadenas de redirección de puertos de red para filtrar datos fuera de la red con comodidad y el acceso remoto al escritorio.
¿Sigue activo este ataque?
Sí, a pesar de los constantes intentos para detener a los atacantes revocando sus certificados digitales, detectando su malware e investigando a los atacantes, los cibercriminales siguen activos y hay varias compañías en todo el mundo que están comprometidas.
¿Cómo podría afectar a los usuarios comunes?
Por ahora, el malware no afecta a los usuarios comunes. Los cibercriminales están usando este malware para atacar a las compañías que desarrollan programas de juegos de Internet. Hasta el momento no hemos descubierto ningún programa que parezca haber sido desarrollado por el equipo Winnti y afecte a usuarios comunes, pero podría existir.
¿Qué riesgo corren las compañías de juegos?
Se sabe que el programa roba los certificados digitales que emplean las compañías de juegos, lo que permite a los atacantes distribuir programas maliciosos firmados por entidades de confianza. También ha intentado robar propiedad intelectual que pertenece a las compañías de juegos, como sus códigos fuentes y diseños de sistemas internos.
¿Quiénes son los atacantes? ¿De dónde son?
Nuestra investigación reveló que algunas partes del código del malware estaban escritas en chino; además, los atacantes utilizaron una ubicación china en sus servidores de Windows y direcciones de IP de China. Existen varios indicios, como sobrenombres, zonas horarias y otros detalles, que demuestran que los atacantes se encuentran en La República Popular de China.
Por ejemplo, muchas personas relacionadas con el malware Winnti aparecieron en foros chinos de Internet en los que se discutían temas de seguridad específicos como hacking, vulnerabilidades y seguridad de redes. Logramos rastrear a una de estas personas hasta una propiedad alquilada de Luoyang, en China Central.
¿Quiénes son las víctimas? ¿Cuál es la magnitud del ataque?
Gran parte de las víctimas son compañías que desarrollan programas, la mayoría de las cuales produce videojuegos de Internet desde el Sudeste Asiático. Calculamos que en un año y medio se comprometieron 35 empresas diferentes. También descubrimos que los atacantes crearon 227 nombres de dominio y los utilizaron como servidores de Comando y Control en diferentes operaciones.
¿Por qué los atacantes están tan concentrados en el Sudeste Asiático?
Esto puede estar relacionado con la residencia de los atacantes y su interés por los desarrolladores de programas locales. Parece que a los atacantes les interesaba acceder a vendedores de software con popularidad local. No se sabe la razón de ello, tal vez querían conseguir certificados digitales y acceder a procesos de producción de software de los desarrolladores locales para poder atacar a otras organizaciones o infectar a una gran cantidad de usuarios locales en cualquier momento.
¿Cómo se pueden proteger los usuarios (tanto domésticos como corporativos) contra este tipo de ataques?
Todos los clientes de Kaspersky Lab están protegidos con las actualizaciones regulares de las bases de datos antivirus. Recomendamos a todos los demás usuarios que tengan cuidado cuando abran los archivos adjuntos que reciban en correos electrónicos sospechosos, ya que ese es el modo que utilizaron para propagar el malware.
¿Cuáles son las diferentes etapas de este ataque? Por ejemplo, ¿los atacantes comprometieron primero los servidores de las compañías y después usaron los servidores comprometidos (y los certificados firmados) para distribuir malware a los usuarios (jugadores)?
En la mayoría de los casos, hemos visto ataques dirigidos que comenzaron con un correo electrónico fraudulento dirigido a una o a pocas compañías. Los correos tenían un archivo malicioso adjunto que se encontraba en un ejecutable o en un archivo comprimido que se extraía a sí mismo. No hemos visto que este grupo en particular aproveche muchas vulnerabilidades “del día cero”. Después de la intrusión inicial a la red corporativa, los atacantes suben una serie de herramientas al equipo infectado para escanear los recursos de red, escalar los privilegios y ubicar la información más valiosa de la organización a la que están atacando. Después, los atacantes comprimen los datos robados y los filtran a uno de sus servidores de C&C en Internet, por lo general utilizando un canal TCP de conexión trasera mediante una cadena de aplicaciones simples TCP-proxy.
denle cuanto al servidor comprometido, sí hemos visto incidentes en los que el malware estuvo disponible para descargarse desde un servidor público de las compañías de juegos, pero el componente que encontramos en el servidor no era suficiente para infectar a los equipos de los usuarios y lo más probable es que hayan llegado ahí por accidente.
¿Cómo sacan ganancias de esto los atacantes? ¿Lo logran con manipulaciones en juegos en línea o ganan dinero robando datos/archivos/credenciales personales de los equipos infectados mediante una puerta trasera?
Creemos que el objetivo principal de los atacantes es recolectar certificados digitales y robar la propiedad intelectual de las compañías que desarrollan software, lo que casi siempre implica robar el código fuente de sus productos y las monedas u oro virtual de los juegos de rol multijugador de Internet (MMORPGs). Los certificados digitales pueden venderse en el mercado negro a otros atacantes, pero el código fuente ofrece más oportunidades para explotar las vulnerabilidades del juego y crear copias pirata del negocio de Internet en la región de los atacantes.
Si todo sucede dentro del juego, ¿cómo lo hacen? ¿Explotan vulnerabilidades en los juegos comprometidos para crear cantidades falsas de dinero del juego (oro, runas, monedas, etc.) y venderlo a otros jugadores por dinero de verdad?
Por ahora, no hemos confirmado por completo que los atacantes hayan aprovechado los juegos para generar dinero falso virtual, ya que no hemos tenido acceso completo a los servidores de juegos comprometidos por los atacantes, pero, según algunos informes de las compañías de juegos, se inyectaron algunos módulos maliciosos en los procesos de los servidores de juego y lo más probable es que se usaran para manipular el estado interno del proceso, lo que es muy probable que cause la producción de cantidades falsas de dinero que sirva dentro del juego o cualquier otro objeto de valor.
¿Cuáles son las compañías de juego afectadas? ¿Qué juegos están comprometidos?
Publicamos la lista de compañías a las que los hackers atacaron y robaron sus certificados digitales. Pero esta lista no incluye todas las compañías comprometidas que conocemos. Algunas nos ayudaron con nuestra investigación de forma voluntaria pero prefirieron mantenerse en el anonimato. Esta es la lista de las compañías que sufrieron el robo de certificados:
- ESTsoft Corp
- Kog Co., Ltd.
- LivePlex Corp
- MGAME Corp
- Rosso Index KK
- Sesisoft
- Wemade
- YNK Japan
- Guangzhou YuanLuo
- Fantasy Technology Corp
- Neowiz
Los ejemplares de Winnti también tienen etiquetas que podrían referirse a las compañías afectadas y a las que se destinaron los ejemplares. Entre ellas reconocimos las siguientes compañías:
- Cayenne Entertainment Technology Co.,Ltd, Taiwan, tag: Wasabii
- AsiaSoft, Tailandia, tag: asiasoft
- GameNet, Rusia, tag: GameNet
- NEXON Corporation, Japón, tag: nexon
- VNG Corporation, Vietnam, tag: zing
- Trion Worlds, EE.UU., tag: TRIONWORLD
- EYAsoft, Corea del Sur, tag: eyaap80
- NCsoft, Corea del Sur, tags: aion5000, aion2008
- Zemi Interactive, Corea del Sur, tag: zemi
- NHN Corporation, Corea del Sur, tag: NHN
- Hangame Japan, Japón, tag: hangame.jp
¿Se ha identificado alguna característica singular durante su análisis que indique quiénes podrían ser los atacantes?
Sí, descubrimos un par de características singulares de los atacantes:
- La zona horaria de los atacantes estaba activa: lo más probable es que sea entre GMT+07 y GMT+09.
- Se había seleccionado la región de “Chino Simplificado” en la sección de recursos de algunos módulos maliciosos. Se utilizaron cadenas de caracteres de texto chino en los mensajes de algunos módulos.
- Se usó el nombre de un grupo de hackers chino como contraseña para una puerta trasera especial.
- También se utilizaron perfiles de usuario chinos para publicar mensajes de control en los recursos de Internet públicos (blogs y foros).
- Se empleó la configuración regional de sistema para China en los servidores de C&C (mediante conexiones RDP).
¿Se ha identificado alguna de estas características en otras operaciones dirigidas que no estén relacionadas con los juegos de Internet?
Se utilizaron los certificados de las empresas de juego en ataques contra activistas tibetanos y de Uigur.
- https://securelist.lat/nuevos-ataques-sobre-uyghur-y-el-tbet-utilizan-exploits-pdf/65904/
- https://www.f-secure.com/weblog/archives/00002524.html
Algunas industrias más, incluyendo las aeroespaciales:
También notamos que SK Communications, dueño de CyWorld, la mayor red social de Corea del Sur y del popular portal sudcoreano Nate, había sufrido una intrusión informática en 2011 que le llegó mediante otra compañía, ESTsoft que el equipo Winnti había comprometido primero:
https://media.kasperskycontenthub.com/wp-content/uploads/sites/63/2013/04/21033257/C5_APT_SKHack.pdf
¿Podrían los atacantes de Winnti estar involucrados en alguna otra operación previa?
En base a la percepción general de las operaciones de Winnti, creemos que los atacantes que en la actualidad conforman el grupo Winnti son ex miembros de otros grupos de hackers maliciosos. Es muy probable que hayan atacado a varias entidades, incluyendo negocios e individuos, cuando formaban parte de los otros grupos, pero desde que se unieron al grupo Winnti comenzaron a hacerlo de forma rutinaria, sistemática y muy bien organizada. Los antiguos miembros de varios grupos de hacking se unieron y comenzaron a irrumpir en redes ajenas en un nivel más profesional.
¿Qué implica esta operación para alguien que no es un jugador de Internet ni pertenece a una compañía de juegos? ¿Tiene el grupo Winnti otros objetivos de ataque?
Se han visto algunos incidentes en los que empresas que no están relacionadas con los juegos en Internet sufrieron ataques, pero el grupo Winnti se concentra en atacar a los desarrolladores de juegos. Sin embargo, no existe ninguna razón para asumir que no pueda atacar a otro tipo de empresas en el futuro, porque sus herramientas son universales y pueden utilizarse contra cualquier objetivo.
¿Existe algún síntoma particular para identificar las infecciones (BSOD, puertos abiertos, etc.)?
El malware que analizamos utiliza una estrategia de rootkit cuando se ejecuta en el sistema. Comienza como un controlador del sistema y carga componentes adicionales en su memoria. Es probable que el usuario no note ningún cambio.
¿Qué deberían hacer las compañías de la industria de juegos para verificar si sus servidores están comprometidos?
La forma más fácil para los administradores del sistema es realizar un análisis antivirus con un producto como Kaspersky Security Scan, ya que nuestras bases de datos actuales detectan los archivos maliciosos.
¿Qué deberían hacer los usuarios para asegurarse de que sus sistemas no están comprometidos?
Un usuario común puede revisar de forma manual si su sistema está comprometido. Puede reconocerse en los archivos locales del disco con los nombres apphelp.dll y winmm.dll, que están ubicados afuera del directorio %WINDIR%System32. Los atacantes suelen guardar estos archivos en %WINDIR%, lo que es un buen indicador de que el sistema está infectado.
Preguntas frecuentes sobre Winnti: Con estas cosas no se juega