Angriffsserie auf Online-Gaming-Firmen

Eine vermutlich chinesische Hackergruppe namens "Winnti" soll seit mehreren Jahren Onlinespiele-Entwickler angreifen, um dort digitale Zertifikate zu stehlen. Wie Kaspersky Lab untersucht hat, werden die Zertifikate daraufhin – auch von anderen chinesischen Hackergruppen – für Attacken gegen Regierungen, Industrien und politische Aktivisten genutzt. Die Angriffe gegen die Spielehersteller – vor allem von Multiplayer Online-Games – sind damit nur Mittel zum Zweck. Es sollen auch Zertifikate von deutschen Spieleherstellern gestohlen worden sein.

Die Angriffe fielen Kaspersky auf, als im Herbst 2011 eine Vielzahl von Spielern eines Online-Games mit einem Trojaner infiziert wurden. In der Analyse stellte sich heraus, dass die Angreifer einen Fehler gemacht hatten. Eigentlich sollte nur der Videospielehersteller gehackt werden.

Der Trojaner nistete sich auf dem Update-Server als DLL-Bibliothek für 64-bit Windows-Systeme ein. Die DLL-Bibliothek enthielt ein Remote Administration Tool (RAT), das den Kriminellen uneingeschränkten Zugriff auf die Rechner der Opfer gab. Der Trojaner war mit einem gültigen Zertifikat signiert.

Symantec hatte den Trojaner bereits klassifiziert und benannt: es war "Winnti", woraus sich für Kaspersky die Bezeichnung "Winnti-Group" für die Betreiber der Kampagne gegen Videospiel-Hersteller ergibt. In der Folge entdeckte das Sicherheitsunternehmen mehr und mehr Videospiel-Hersteller, die auf ähnliche Weise angegriffen wurden – teilweise mit gültigen Zertifikaten von anderen Spieleherstellern.

So sollen in den vergangenen anderthalb Jahren mindestens 35 Firmen für Multiplayer-Onlinespiele Opfer der Attacken geworden sein. Darunter befanden sich Unternehmen wie etwa ESTsoft Corp, Wemade, Fantasy Technology Corp oder Neowiz, deren Firmensitze in Südkorea, Japan und China liegen. Kaspersky hat allerdings auch Opfer in Südamerika und Europa ausgemacht: Darunter Brasilien, Peru, Russland, Weissrussland und Deutschland. Wen es genau in Deutschland getroffen hat, gibt das Unternehmen nicht bekannt.

Während der Angriffe beschränken sich die Interessen der Hackergruppe nicht nur auf die digitalen Zertifikate; auch Wirtschaftsspionage wird betrieben. Die Winnti-Gruppe kopiert den Source Code der Online-Spiele und untersucht die Netzwerk-Infrastruktur. Außerdem machen sich die Hacker zunutze, dass einige Unternehmen miteinander kooperieren, um Daten auszutauschen und Netzwerkressourcen zu teilen. So wird die Infektion mit "Winnti" (wie bei einer Schmierinfektion) von einem Spiele-Hersteller zum nächsten weitergegeben.

Die Hackergruppe arbeitet zumeist mit chinesischen Tools und Interfaces, Kaspersky konnte aber auch verifizieren, dass teilweise auf koreanischen Windows-Systemen gearbeitet wird. Da die erbeuteten Zertifikate von anderen chinesischen Hackergruppen genutzt werden, ist laut Kaspersky davon auszugehen, dass entweder direkte Kontakte zwischen den Gruppen bestehen oder die "Winnti"-Gruppe die Zertifikate auf dem Schwarzmarkt vertreibt.

Wie Kaspersky einräumt, wurde die Hackergruppe schon in 2010 von dem Sicherheitsunternehmen HBGary zum ersten Mal untersucht, allerdings bezog sich diese Analyse nur auf einen einzigen Fall bei einem einzigen Kunden. Der Kampagnen-Charakter hinter den Angriffen wurde nun von Kaspersky aufgedeckt. (kbe)