Os ataques APT não se dirigem apenas contra agências governamentais ou bases militares; os cibercriminosos são capazes de gastar tempo e dinheiro em hackear companhias comuns e correntes se vêem a possibilidade de obter algum benefício. Experts do Kaspersky Lab descobriram um grupo que invadia fabricantes de videogames.
Mesmo que o grupo tenha atacado apenas a equipamentos das companhias, os primeiros vírus foram detectados em computadores de usuários domésticos. Por causa de um erro cometido pelo hacker agressor, o tróia se instalou no servidor de atualizações e contaminou computadores, possibilitando que jogadores identificassem o problema.
O tróia surpreendeu aos analistas de malware, era uma ferramenta de administração remota que dava aos hackers o controle completo sob o computador da vítima. Além disso incluía um driver com certificado autêntico, que podia ser instalado sem exibir notificação alguma.
Analisando como este vírus pôde se instalar no servidor de atualizações se descobriu uma rede de ciberespionagem digna de filmes de ficção. Primeiro eram usadas mensagens de pishing para infectar os equipamentos de determinados funcionários da companhia de jogos. Depois o tróia, apelidado de Winnti, baixava módulos de administração remota de servidores C&C. Uma vez estabelecida a conexão manual com o equipamento, o invasor analisava o sistema e decidia se valia a pena continuar monitorando-o ou não. Se a resposta fosse negativa todas as pistas de spyware eram eliminadas e o computador abandonado. Mas caso encontrasse algo de valor o cibercriminoso recopilava toda informação possível. Dando prioridade aos códigos de fonte dos jogos e certificados de software. Uma vez que se apoderava do material o delinquente buscava as debilidades do servidor e criava um mecanismo para lançar servidores de jogos piratas e vender os acessos. Os certificados eram usados para assinar novos programas de malware e revendê-los a outros cibercriminosos que poderiam chegar a utilizá-los para espionagem política.
Com a globalização da indústria de videogames, a cooperação entre os fabricantes e redes compartilhadas os cibercriminosos podem infectar o sistema de apenas um fabricante e usá-lo para penetrar em outras companhias.
Ainda que seja difícil analisar as proporções do problema está claro que dozenas de companias no Brasil, Rússia, Alemanha, Estados Unidos, China, Coréia do Sul e diversos outros países tenham sido atingidas.
O ataque gerou prejuízos a desenvolvedores de jogos e usuários. As empresas das quais foram roubados trabalhos de muitos anos podem chegar a nunca cobrir os custos porque seus jogadores migraram a servidores piratas. E os hackers podem usar os servidores de atualizações para espalhar o malware nos equipamentos dos usuários. Não existemprovas de que o grupo Winnti tenha infectado deliberadamente os computadores dos jogadores, mas ainda não se pode eliminar a possibilidade.
Saiba como se precaver:
- Revise os ajustes, disponíveis na maioria das soluções de segurança, configurados para o jogo. Como regra os produtos antivírus não exibem alertas e minimizam as telas de scaner para não afetar negativamente o rendimento do sistema. Em caso de que algum programa malicioso seja detectado, certifique-se de bloquear ou emininá-lo.
- Use uma solução de segurança completa que inclua proteção antivírus, controle de comportamento, firewall e outras funções. Atualize constantemente o antivírus e leve a sério qualquer alerta; inclusive se estiver relacionado a arquivos procedentes de fontes confiáveis como servidor de atualizações de videogames.
- Os produtos de Kaspersky Lab detectan e neutralizan os programas maliciosos e as variantes utilizadas pelo grupo Winnti: Backdoor.Win32.Winnti, Backdoor.Win64.Winnti, Rootkit.Win32.Winnti and Rootkit.Win64.Winnti.
Conselho final aos jogadores: não sustentem o mercadoo negro. Conectar-se a servidores não oficiais ajuda os cibercriminosos a atacarem os fabricantes de videogames e cada investida é um tijolo a mais no muro que separa os jogadores das inovações na indústria de videogames.
Dicas