Ein Spiel ohne Regeln

Die Kaspersky-Analysten untersuchen derzeit eine Reihe zielgerichteter Attacken auf Spielehersteller. Es zeigte sich, dass Cyberkriminelle In-Game-Geld stehlen, aber auch Quellcodes und digitale Zertifikate. In diesem Blogbeitrag sagen wir, was Online-Spieler

Die Kaspersky-Analysten untersuchen derzeit eine Reihe zielgerichteter Attacken auf Spielehersteller. Es zeigte sich, dass Cyberkriminelle In-Game-Geld stehlen, aber auch Quellcodes und digitale Zertifikate. In diesem Blogbeitrag sagen wir, was Online-Spieler (und Spielehersteller) dazu wissen sollten.

game_attack_b2c_article_EN (2)

APT-Angriffe (Advanced Persistent Threat) zielen nicht nur auf Regierungsorganisationen oder militärische Geheimnisse ab; Cyberkriminelle können ihre Zeit, ihr Geld und ihr Können auch zum Hacken normaler Unternehmen verwenden, wenn Sie davon persönlichen Gewinn erwarten. Das zeigt eindrucksvoll das Ergebnis einer jahrelangen Untersuchung der Kaspersky-Experten, die eine kriminelle Gruppe entlarvte, die Hersteller von Computerspielen ausspioniert.

Obwohl die Cyberkriminellen ausschließlich Computer von Spielefirmen angriffen, wurden die ersten Infektionen auf Computern von Spielern gefunden. Durch einen Fehler der Hacker kam ein Trojaner auf einen Update-Server, und wurde von dort auf die Spielercomputer herunter geladen, wo ihn aufmerksame Anwender entdeckten. Der Trojaner zog sofort die Aufmerksamkeit von Virenanalysten auf sich, da es sich um ein vollausgestattetes Remote Administration Tool (RAT) handelt, das den Hackern die komplette Kontrolle über die Opfercomputer ermöglicht. Zudem enthält er einen Treiber, der mit einem authentischen und legitimen Zertifikat signiert ist, so dass er sich ohne Alarm oder Benachrichtigung installieren kann.

Die Untersuchung, wie die Datei auf einen Update-Server kommen konnte, enthüllte ein komplettes Spionage-Netzwerk, das auch in jeden Hollywood-Actionfilm passen würde. Zunächst wurden Phishing-Nachrichten genutzt, um die Computer bestimmter Mitarbeiter bei einem Spieleentwickler zu infizieren. Wurde ein Rechner erfolgreich infiziert, lud der Trojaner, der den Namen Winnti bekommen hat, mehrere Remote-Administrationsmodule von C&C-Servern herunter und schickte einen Bericht über die Infizierung. Anschließend stellte einer der Cyberkriminellen eine manuelle Verbindung zu dem Computer her, bewertete die Situation und entschied, ob es etwas bringt, den Computer weiter zu beobachten. Wenn nicht, wurden alle Spuren der Spyware von dem Computer gelöscht. Wenn es sich aber lohnte, sammelten die Cyberkriminellen alles, was sie bekommen konnten. Oberste Priorität hatte der Diebstahl von Game-Quellcodes und Software-Entwickler-Zertifikaten. Wenn sie einmal Quellcodes bekommen hatten, konnten die Kriminellen nach Sicherheitslücken auf Spieleservern suchen und Mechanismen entwickeln, um virtuellen Besitz zu generieren oder eigene gefälschte Spieleserver einzurichten, für die sie den Zugang günstig verkauften. Die Zertifikate wurden genutzt, um neue Schadprogramme zu signieren, aber offensichtlich auch, um sie an andere Cyberkriminelle zu verkaufen, denn einige der gestohlenen Zertifikate tauchten später bei anderen kriminellen Machenschaften auf und wurden für politische Spionage genutzt.

Da die Spieleindustrie sehr global agiert – mit großen Herstellern, die riesige Filialen-Netzwerke in aller Welt betreiben –, die Hersteller oft eng bei der Übersetzung und Veröffentlichung zusammenarbeiten und sich gegenseitigen Zugang zu den Firmennetzwerken gewähren, konnten die Cyberkriminellen ein einziges infiziertes Netzwerk nutzen, um auch bei anderen Firmen einen Fuß in die Tür zu bekommen. Auch wenn es noch schwer ist, die Größe des Vorfalls abzuschätzen, ist bereits klar, dass Dutzende Firmen in Russland, Deutschland, den USA, China, Südkorea und einigen anderen Ländern angegriffen werden.

Obwohl die kriminelle Gruppe auf Spielehersteller abzielt, werden auch normale Spieler die Konsequenzen der Attacke spüren – aus verschiedenen Gründen. Zum ersten bringen virtuelles Geld und virtuelle Güter, die nicht vom Spielehersteller erzeugt wurden, ein Ungleichgewicht ins Spiel, in dem alle Parameter normalerweise sorgfältig berechnet werden, inklusive dem Geldvorrat. Zum zweiten werden Firmen, die von den Cyberkriminellen um die Früchte jahrelanger harter Arbeit betrogen werden, ihre Entwicklungskosten nicht decken können, wenn Spieler auf gefälschte Server abwandern. Das könnte einen verheerenden Effekt auf den Support des Spiels an sich haben. Zum dritten können Cyberkriminelle kompromittierte Server nutzen, um Schadprogramme auf die Rechner aller Spieler zu verteilen. Wir haben keinen Beweis, dass die Winnti-Gruppe absichtlich auch Spieler über die gehackten Firmen infiziert, können das aber auch nicht ausschließen – das könnte auch eine gut bezahlte Auftragsarbeit für Dritte sein.

Um sich gerade vor dieser letzten Gefahr zu schützen, hier einige Vorsichtsmaßnahmen:

  • Prüfen Sie die Einstellungen des ‚Spiele‘-Modus, den viele Sicherheitslösungen bieten. In der Regel zeigen Antiviren-Programme keine Warnungen an und führen keine Scans durch, während ein Programm im Vollbildmodus läuft (etwa ein Spiel), um sich nicht negativ auf die Leistung des Systems auszuwirken. Stellen Sie aber sicher, dass die Antiviren-Lösung dennoch eine Aktion ausführt, wenn eine Infizierung entdeckt wird – ein schädliches Objekt sollte zumindest blockiert oder in eine Quarantäne verschoben werden, darf aber niemals übersprungen werden.
  • Verwenden Sie eine vollwertige Sicherheitslösung, inklusive Virenschutz, Verhaltenskontrolle, Firewall und anderen Komponenten. Aktualisieren Sie das Programm regelmäßig und nehmen Sie alle Warnungen ernst, selbst, wenn sie bei einer Datei erscheinen, die von einer eigentlich vertrauenswürdigen Quelle kommt, etwa einem Spiele-Update-Server.
  • Die Kaspersky –Produkte entdecken und entfernen die Schadprogramme und ihre Varianten, die die Winnti-Gruppe einsetzt. Sie werden von der Software als Backdoor.Win32.Winnti, Backdoor.Win64.Winnti, Rootkit.Win32.Winnti und Rootkit.Win64.Winnti klassifiziert.

 Zu guter Letzt ein genereller Hinweis für Spieler: Unterstützen Sie nicht den Schwarzmarkt. Wenn Sie sich mit inoffiziellen Spieleservern verbinden, ermutigen Sie die Cyberkriminellen nur, Spielefirmen immer wieder anzugreifen. Und jeder Angriff ist ein weiterer Stein in der Mauer zwischen uns allen und interessanten neuen Spielen, für deren Entwicklung jemand viel Zeit und Geld investieren muss.

Tipps