Laut uns vorliegenden Dokumenten von Kaspersky Lab greifen Kriminelle der Winnti-Gruppe seit 2009 Unternehmen an, die Online-Spiele publizieren. Wie es heißt, sollen dabei geistiges Eigentum (beispielsweise Quellcodes) und signierte digitale Zertifikate gestohlen werden.

Aktuelles - Cyberspionage bei Online-Spielepublishern aufgedeckt, auch deutsche Firmen betroffen

alle Bilderstrecken
Weitere Bilder zuAktuelles
Wischen für nächstes Bild, klicken um Infotext ein- / auszublendenBild 1/2Bild 8/91/9
Ein Überblick, wo wie viele betroffene Publisher sitzen - zwei davon in Deutschland.
mehr Bildersteckenalle Bilderstrecken

Im Herbst 2011 ereignete sich ein Vorfall, bei dem ein Trojaner auf mehreren Rechnern von Spielern auf der ganzen Welt entdeckt wurde. Schnell stellte sich die heraus, dass diese Spieler eines gemeinsam hatten: die Nutzung eines beliebten Online-Spieles. Der Trojaner wurde über das offizielle Spieleupdate verbreitet, so dass natürlich der Publisher verdächtigt wurde.

Doch der konnte tatsächlich nichts für den Trojaner, stattdessen wurde das Unternehmen selbst Opfer eines Angriffes. Der Trojaner wurde durch Kriminelle der besagten Gruppe eingeschleust, die es eigentlich auf den Publisher und nicht die Spieler abgesehen hatten.

Schließlich wandte sich der Publisher an Kaspersky Lab, um den Trojaner zu analysieren, wodurch ans Tageslicht kam, dass sich die Schadsoftware als eine für die Windows 64-Bit-Architektur konzipierte Programmbibliothek tarnte und für die Angreifer somit eine Art Remote Administration Tool war.

Wie Kaspersky Lab angibt, gibt es drei Szenarien, die die Winnti-Gruppe nutzen könnte, um illegalen Profit zu erzielen:

  • Manipulation von Spiel-Währungen, wie zum Beispiel "Runen" oder "Gold", die von Spielern dazu verwendet werden, virtuelles Geld in echtes Geld zu tauschen.
  • Verwendung von gestohlen Quellcodes von Online-Spiele-Servern, um nach Schwachstellen innerhalb der Spiele zu suchen sowie die Manipulation der Spiel-Währung zu beschleunigen und sie unbemerkt anzusammeln.
  • Verwendung von gestohlenen Quellcodes von Servern beliebter Online-Spiele, um eigene, illegale Server einzurichten.

Wie Kaspersky Lab noch herausfand, wurden über 30 Unternehmen aus der Spielebranche durch die Winnti-Gruppe infiziert. Ein Großteil der Publisher sitzt in Asien, aber auch in Deutschland und den USA sind bzw. waren Unternehmen betroffen.

Laut Kaspersky Lab sind das Schadprogramm und die Gruppe noch immer aktiv, während man mit der IT-Security-Community, der Gaming-Industrie und den Zertifizierungsstellen (CA) zusammenarbeite. Darüber hinaus unterstützt Kaspersky Lab die betroffenen Firmen beim Widerruf der gestohlenen Zertifikate.

Folgende Bezeichnungen haben die verschiedenen Varianten des Schadprogrammes: Backdoor.Win32.Winnti, Backdoor.Win64.Winnti, Rootkit.Win32.Winnti und Rootkit.Win64.Winnti.

Betroffen sich beispielsweise die Firmen ESTsoft Corp, Neowiz und Sesisoft. Welche Firmen in Deutschland, USA, Russland und Co. betroffen sind, gab man nicht bekannt.