Rapora göre, Winnti grubu çevrimiçi oyun sektöründe bulunan firmalara 2009 yılından bu yana saldırılarda bulunuyor ve bugün hâlâ aktif olarak çalışıyor. Bu grubun amacı, fikrî mülkiyet hırsızlığının yanı sıra yetkili yazılım sağlayıcılar tarafından imzalanmış dijital sertifikaları ve çevrimiçi oyun projelerinin kaynak kodlarını ele geçirmek… Winnti grubunun kötü niyetli aktiviteleri, ilk defa zararlı bir trojanın küresel çapta birçok kullanıcının bilgisayarlarında tespit edildiği 2011 yılının sonbaharında dikkatleri çekti. Etkilenen bilgisayarların ortak noktası ise bunların popüler bir çevrimiçi oyun oynarken kullanılmış olmalarıydı. Bu olaydan kısa bir süre sonra, kullanıcıların bilgisayarlarını etkileyen kötü amaçlı bu programın aslında oyun firmasının resmi sunucusu üzerinden düzenli olarak yapılan güncellemenin bir parçası olduğu ortaya çıktı. Etkilenen kullanıcılar ve oyun topluluğunun üyeleri, bilgisayar oyunu sağlayıcılarının müşterilerini gizlice gözetlemek için böyle bir kötü amaçlı yazılım yüklemiş olabileceklerinden şüphelendiler. Ancak daha sonra anlaşıldı ki, bu zararlı program oyun oynayanların bilgisayarlarına yanlışlıkla yüklenmişti ve siber suçluların asıl hedefi video oyun firmasının kendisiydi.

KURBANLARIN BİLGİSAYARLARINI UZAKTAN KONTROL EDİYORLAR

Buna cevap olarak, kullanıcılarına trojan yayan sunucuların sahibi olan bilgisayar oyunu sağlayıcısı, Kaspersky Lab firmasından bu zararlı programı analiz etmesini istedi. Bu analiz sonucunda, Trojan’ın 64 bit Windows ortamı için derlenmiş bir DLL kitaplığı ve doğru bir şekilde imzalanmış zararlı bir sürücü olduğu ortaya çıktı. Programda yer alan “Uzaktan Yönetim Aracı (RAT)” saldırganlara, kurbanların bilgisayarlarını onların haberi olmadan kontrol etme imkânı veriyordu. Bu ayrıca, trojan’ın Microsoft Windows’un 64 bit sürümünde geçerli bir dijital imzası olan ilk zararlı program olduğunu ortaya çıkaran önemli bir buluştu. Uzmanlar Winnti grubunun kampanyasını analiz etmeye başladı ve çoğunluğu Güneydoğu Asya’da bulunan çevrimiçi video oyunları üreten yazılım geliştirme firmalarının oluşturduğu video sektöründeki 30’un üzerinde firmanın Winnti grubu tarafından etkilendiğini ortaya koydu. Bununla birlikte, Almanya, Amerika, Japonya, Çin, Rusya, Brezilya, Peru ve Belarus’ta bulunan çevrimiçi oyun firmaları da Winnti grubunun kurbanları arasında yer alıyor.

BU YÖNTEMLERLE PARA KAZANIYORLAR Sanayi casusluğuna ek olarak, Kaspersky Lab uzmanları Winnti grubu tarafından yasadışı kâr elde etmek için kullanılma ihtimali olan üç temel para kazanma planı üzerinde duruyor:
l Oyuncular tarafından sanal parayı gerçek paraya dönüştürmek için kullanılan “madalya” veya “altın” gibi oyun içi paranın toplamıyla oynamak.
l Oyun içi paranın ve toplamının manipülasyonunu şüphe çekmeden artırmak ve hızlandırmak amacıyla oyunların içindeki zayıflıkları araştırmak için çevrimiçi oyun sunucularından çaldıkları kaynak kodunu kullanmak
l Kendi korsan sunucularını dağıtmak için popüler çevrimiçi oyunların sunucularından çaldıkları kaynak kodunu kullanmak.
Winnti grubu hâlâ aktif olarak çalışıyor bu konudaki araştırmalar devam ediyor. Firmanın uzman takımı, etkilenen diğer sunucuları tanımlamak adına BT güvenlik topluluğu, çevrimiçi oyun sektörü ve sertifika yetkilileri ile birlikte çalışmalarını özenli bir şekilde sürdürürken, çalınan dijital sertifikaların iptali konusunda da destek oluyor.
Winnti grubunun kampanyası ile ilgili araştırmanın, eksiksiz teknik analizlerini de içeren detaylı raporunun tamamına ulaşmak için lütfen Securelist’i ziyaret ediniz.