Winnti es más que un juego

0

Los laboratorios Kaspersky acaban de dar a conocer los detalles sobre una campaña de ciber espionaje conducida por una organización criminal conocida como “Winnti”. De acuerdo al informe, el grupo Winnti ha estado atacando compañías desarrolladoras de videojuegos desde el 2009 y aún continúa en el presente.

Los objetivos de estos criminales son robar propiedad intelectual y certificados digitales firmados por desarrolladores de software legítimos, incluyendo el código fuente de algunos juegos online. Su herramienta favorita es lo que se ha denominado “Winnti” software. Ha evolucionado con el tiempo, pero se divide en dos variantes básicas: 1.x y 2.x. Podéis ver un análisis de la primera variante aquí (en inglés). 

La segunda generación (2.x) es más reciente y podéis ver sus detalles en este PDF.

La investigación está relacionada con un troyano de 2011 ¿Por qué es relevante?

La investigación estudia una serie de campañas de ciber espionaje llevadas a cabo por una organización criminal que ha conseguido penetrar en muchas compañías desarrolladoras de software y que está indirectamente relacionada con el éxito obtenido por otros criminales y organizaciones interesados en el robo de información.

Conviene tener esta amenaza en cuenta, para así darnos cuenta del torrente de ciber ataques provenientes de Asia. Habiendo infectado compañías desarrolladoras de juegos MMORPG (por ejemplo) obtuvieron acceso a millones de ordenadores. Se observaron varios incidentes de infeccion masiva, uno de ellos relacionado con un supuesto parche de actualización que contribuyó a expandir aún más sus efectos.

Hay que tener en cuenta que la mayoría de compañías que desarrollan videojuegos no se dedican a eso en exclusiva. Normalmente estos desarrolladores también publican otros tipos de software. Se ha comprobado que en al menos una ocasión se ha comprometido la seguridad de una compañía ajena a la industria del videojuego, a través de un parche de actualización que incluía el troyano desarrollado por Winnti. Pero la cosa no acabó aquí, sino que se vieron afectados, a su vez, datos de terceras empresas del sector, ofreciendo un nuevo vector de ataque para el troyano y provocando la inseguridad de muchos clientes a nivel mundial. La red es así. 

En resumen, este artículo está dedicado a estudiar un grupo malicioso que no sólo menoscaba la confianza en el mundo del videojuego, sino que además ha creado un gran impacto en la confianza del sector del software en general, sobre todo en la regiones donde el grupo Winnti sigue activo hasta la fecha.

¿Cuales son los propósitos de este troyano?

El troyano o, mejor dicho, kit de penetración (conjunto de herramientas) denominado Winnti, incluye varios módulos que permiten el espionaje remoto de máquinas vulneradas. Esto incluye recolección de información de sistema, manipulación de procesos y archivos o la creación de cadenas de redirección de puertos de red para la correcta extracción y acceso remoto al dispositivo.

¿Continúa activo?

Sí, a pesar de los intentos de parar el fenómeno vía revocación de los certificados digitales afectados, detección del malware empleado e investigación, los atacantes continúan activos, con al menos unas cuantas empresas desarrolladoras de software padeciendo las consecuencias.

¿Qué impacto puede tener para el usuario doméstico?

Este malware, afortunadamente, no tiene objetivos domésticos hasta la fecha. Con las herramientas usadas, lo que se busca es comprometer a las empresas desarrolladoras de juegos/software. Hasta ahora no se ha descubierto malware doméstico que tenga rastro de Winnti, pero es no quiere decir que en el futuro no lo veamos.

¿Qué efectos negativos puede padecer las empresas?

Se ha comprobado que este malware ha sido diseñado, entre otros, para robar certificados digitales usados por empresas desarrolladoras de juegos, lo que habilita a los atacantes para poder distribuir software perjudicial firmado por entidades de confianza. También se han observado intentos de robar propiedad intelectual perteneciente a esas compañías, por ejemplo código fuente y diseño de sistemas internos.

¿Quienes son los atacantes? ¿Cual es su nacionalidad?

Las investigaciones han revelado que los responsables emplean la lengua china en el código interno del malware. Además, han empleado el chino en sus servidores Windows y han esstado usando direcciones IP en ese país. Hay otros indicadores como los nombres de usuario, las zonas horarias, etc que muestran de una forma bastante clara que se ha operado desde la República de China.

Por ejemplo, muchos usuarios virtuales relacionados con el malware Winnti aparecieron en foros específicos de China sobre “hacking”, “vulnerabilidades”, cuestiones de seguridad de red, etc. Algunos de esos usuarios han sido restreados hasta la región de Luoyang, en China central. 

Cadenas de comandos en chino

¿Quienes son las víctimas? ¿Qué escala tienen los ataques?

La myoría de las víctimas -desarrolladores de software- producen videojuegos en países del sur de Asia. El año pasado se han contabilizado 35 negocios comprometido de esta forma. Se han descubierto 227 nombres de dominio creados por los atacantes y usados como C2, o centros de control del malware, en diferentes campañas. 

Expansión de Winnti

¿Por qué los ataques se centran en la región del sureste de Asia?

Probablemente por la proximidad de los vecinos y porque les interesa estudiar desarrolladores de software locales. Parece que los atacantes están interesados en conseguir acceso a empresas de software populares de la región. El motivo no está claro, probablemente quisieron conseguir y mentener sus certificados digitales y acceder a los procesos de producción para ser capaces, en el futuro, de infectar a un número mayor de usuarios y organizaciones.

¿Como se protege a los usuarios (individuales y empresas) de esta amenaza?

Los usuarios de kaspersky están protegidos por medio de actualizaciones continuas de sus bases antimalware. Se recomienda a los usuarios precaución cuando reciban emails sospechosos con archivos adjuntos, ya que es el método de propagación empleado por el malware. 

Qué compañías y jeugo han sido afectados? 

Os mostramos una lista de compañías cuyos certificados han sido extraídos y empleados con fines fraudulentos. Sin embargo, la lista no incluye todas las compañías afectadas que se conocen. Algunas de ellas, a pesar de facilitar datos para la posterior investigación, prefieren mantener su nombre oculto:

  • ESTsoft Corp
  • Kog Co., Ltd.
  • LivePlex Corp
  • MGAME Corp
  • Rosso Index KK
  • Sesisoft
  • Wemade
  • YNK Japan
  • Guangzhou YuanLuo
  • Fantasy Technology Corp
  • Neowiz

Además, también hay muestras de Winnti que contienen referencias que podrían relacionarse con empresas que fueron vulneradas  o que estaban en el punto de mira. Entre ellas están las siguientes:

  • Cayenne Entertainment Technology Co.,Ltd, Taiwan, tag: Wasabii
  • AsiaSoft, Thailand, tag: asiasoft
  • GameNet, Russia, tag: GameNet
  • NEXON Corporation, Japan, tag: nexon
  • VNG Corporation, Viet nam, tag: zing
  • Trion Worlds, USA, tag: TRIONWORLD
  • EYAsoft, South Korea, tag: eyaap80
  • NCsoft, South Korea, tags: aion5000, aion2008
  • Zemi Interactive, South Korea, tag: zemi
  • NHN Corporation, South Korea, tag: NHN
  • Hangame Japan, Japan, tag: hangame.jp

¿Se han conseguido identificar características únicas que permitan saber la procedencia de los ataques?

Si, se ha conseguido realizar un perfil de los responsables gracias a estos datos:

  • La zona horaria empleada mientras los atacantes estaban activos: GMT+07 y GMT+09.
  • Lenguaje chino simplificado instalado en los recursos de algunos módulos. Cadenas de texto en chino empleadas en mensajes de informes en módulos.
  • Nombre de equipo de hacking chino empleado como contraseña para una “puerta trasera”.
  • Perfiles de usuarios chinos relacionados con mensajes publicados en recursos de internet -blogs y foros-.
  • Lenguaje chino local usado en los servidores de comando y control (a través de conexión RDP) 
Lenguaje de sistema en chino

¿Qué significa esta campaña para alguien que no pertenece a una empresa desarrolladora o es jugador online? ¿Puede haber más objetivos?

Ha habido pocos incidentes relacionados con empresas fuera de la distribución de juegos, ya que es ese su principal objetivo. Sin embargo eso no quiere decir que puedan moverse en cualquier momento a otros tipos de negocio, ya que sus herramientas son universales y les permitiría hacerlo.

¿Hay algún tipo de síntoma del que los usuarios deban estar pendientes (BSOD, puertos abiertos, etc)

El malware analizado emplea un rootkit cuando se ejecuta en el sistema. Arranca un driver de sistema y carga componentes adicionales en la memoria. El usuario común no será capaz de visualizar cambios respecto de un sistema limpio.

¿Qué deben hacer los usuarios para comprobar si han sido atacados?

Para el usuario común existe un método de comprobar manualmente si el sistema está comprometido. Normalmente se reconocen archivos en el sistema con los nombres “apphelp.dll” y “winmm.dll” localizados fuera del directorio %WINDIR%System32. Normalmente los atacantes colocan estos archivos directamente en %WINDIR%, lo cual es un buen indicador de un sistema infectado.

RECURSOS ADICIONALES

 – Video demostrativo de espionaje por parte de Winnti: http://youtu.be/I_4aUfEI0_4

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR