Продолжая тему Winnti, мы расскажем о том, как и чем эта группа попыталась повторно заразить некую игровую компанию. После того как обнаружилось, что серверы этой компании заражены вредоносным ПО, мы, вместе с системным администратором этой компании, занялись ликвидацией заражения, очищая корпоративную сеть от вредоносных файлов. Это заняло какое-то время, потому как сначала не было понятно, каким образом злоумышленники проникли в компанию, полностью закрыть для них доступ не получалось, и вредоносные файлы все появлялись и появлялись. Результаты анализа, проведенного самой игровой компанией, навели на мысль, что заражение началось после установления рабочих контактов с одной южнокорейской игровой компанией. Это подтвердили и наши исследования: как мы уже писали, группа Winnti работает наиболее активно в восточноазиатском регионе, и как раз в Южной Корее мы зафиксировали 14 зараженных игровых компаний.

В ходе мероприятий по ликвидации заражения игровая компания высылала нам подозрительные файлы, появляющиеся на их компьютерах. Многие из них являлись вредоносными программами Winnti. Как только информация о вредоносных файлах добавлялась в антивирусные базы, в корпоративной сети игровой компании с помощью наших продуктов проходила ликвидация зловредов Winnti. Но злоумышленники действовали очень быстро: казалось бы, только вчера на компьютерах компании были задетектированы и удалены вредоносные программы, а сегодня уже новые образцы зловредов появлялись мистическим образом там же, где накануне только избавились от заражения. Но в итоге наши усилия принесли плоды, и злоумышленникам был перекрыт доступ к компьютерам игровой компании.

Но, как мы и ожидали, радоваться было рано. Ровно через месяц после очищения сети игровой компании, группа Winnti проявилась вновь. Системный администратор прислал нам подозрительные файлы, которые пришли в письмах к их сотрудникам. Это был банальный spearphishing. Злоумышленники представлялись некими разработчиками компьютерных игр и, якобы, искали сотрудничества с крупными издательствами.

В ходе расследования деятельности группы Winnti нам удалось обнаружить достаточно много самплов Winnti, нацеленных на различные игровые компании. Используя эту сложную вредоносную программу, злоумышленники получали удаленный доступ к зараженным машинам, после чего действовали уже вручную.

Нам, конечно же, было важно узнать, каким образом вредоносная библиотека распространялась по локальной сети. Для этого мы последили за тем, что делают злоумышленники на зараженном компьютере.

Первая попытка: виртуальная машина 1

На раннем этапе исследования мы запускали вредоносные программы на виртуальной машине, и они нормально работали. Мы даже зафиксировали кое-какую активность со стороны злоумышленников. Но они быстро поняли, что это не тот компьютер, который они хотели бы поймать в свои сети, поэтому серверы злоумышленников перестали отвечать на запросы ботов с виртуальной машины.

Вот, что нам удалось узнать на этом этапе мониторинга.

Сначала, злоумышленники посмотрели, что происходит на рабочем столе жертвы. Потом, используя командную строку, атакующие вышли в корневой каталог текущего диска, просмотрели содержимое, поискали файл winmm.dll, уточнили версию операционной системы. После этого включился в работу плагин ListFileManager.dll, с помощью которого удобно просматривать содержимое каталогов, и анализу подверглись папки C:\Windows и C:\Work. Далее злоумышленники хотели перезагрузить компьютер (он должен был бы перезагрузиться через 1 секунду), но ошиблись в параметрах команды shutdown, введя 'shutdown /t /r 1'. Через некоторое время они уже в правильном формате вообще выключили компьютер командой 'shutdown /s /t 1'.

Trend Micro обнаружила фишинговые письма, распространяемые от имени Blizzard по внутренней почте ее онлайн-игры World of Warcraft.

Чтобы выудить у держателей игровых ящиков ключи к аккаунтам, злоумышленники предлагают им принять участие в бета-тестировании Mists of Pandaria («Туманы Пандарии») ― долгожданного обновления WoW. Blizzard анонсировала его в минувшем октябре и запустила бета-версию для ограниченного числа участников в марте. Чтобы сделать свое предложение еще привлекательнее, фишеры обещают новому «избраннику» бесплатный эксклюзив ― Гигантскую Черепаху, ездовое животное пандаренов. Получателя фишингового письма должен сразу насторожить ограниченный срок предложения: на «активацию тест-статуса» ему отводятся всего сутки ― верный признак подделки.

По свидетельству Trend Micro, ссылка, указанная фишерами, ведет на сайт, по оформлению схожий со страницей регистрации игровой платформы Battle.net. Для пущей убедительности авторы кибератаки добавили сокращение MOP (Mists of Pandaria) к имени домена. Все идентификаторы, введенные на фальшивой странице, попадают прямиком к злоумышленникам. На этом же сервере эксперты обнаружили другие фишинговые сайты, которые, судя по именам, тоже созданы для сбора ключей к учетным записям WoW. Некоторые из этих имитаций были зарегистрированы сразу после анонса Mists of Pandaria.  

Trend Micro отмечает, что основная масса адресатов фишинговой рассылки ― игроки низкого уровня. По-видимому, инициаторы атаки сочли, что маститые участники WoW скорее обнаружат подделку и поднимут тревогу, так как им уже не раз приходилось сталкиваться со спам-рассылками в процессе игры. Для менее просвещенных на сайте Blizzard создан специализированный раздел http://eu.battle.net/ru/security/, посвященный вопросам защиты аккаунта от несанкционированного доступа. В нем можно ознакомиться со случаями кражи и взлома учетной записи, с защитными решениями компании, узнать, как снизить риски и как себя вести, если персональные идентификаторы попали в чужие руки.

Последние несколько дней широко обсуждается хакерская атака на геймерскую сеть Playstation Network (PSN), в результате которой была похищена конфиденциальная информация — например, данные банковских карт пользователей. Сейчас наблюдается усиление активности в среде киберпреступников. Если верить сообщению, размещенному на форуме PSX-scene, среди похищенных данных могли быть коды проверки подлинности банковских карт (CVV2). На подпольном форуме Darkode пишут, что украденные данные, возможно, имеют вид: fname, lnam, address, zip, country, phone, email, password, dob, ccnum, CVV2, exp date.

Однако согласно заявлению Sony в официальном блоге Playstation, хакер не получил доступа к CVV2:

«Несмотря на то, что расследование деталей этого инцидента еще продолжается, мы точно можем сказать, что неизвестному взломщику стали доступны личные данные пользователей, предоставленные при регистрации: имена, электронные и почтовые адреса (страна, город, штат, почтовый индекс), даты рождения, логины и пароли для доступа к PlayStation Network/Qriocity, а также идентификаторы PSN. Возможно, были похищены данные профилей пользователей — истории покупок, адреса, по которым направлялись счета (город, штат, почтовый индекс), ответы на секретные вопросы, с помощью которых можно восстановить пароли доступа к PlayStation Network/Qriocity. Если вы дали согласие на открытие дополнительного аккаунта на имя другого лица, его данные тоже могли быть украдены. На данный момент нет оснований считать, что добычей злоумышленника стали данные кредитных карт пользователей, но полностью исключить такую возможность также нельзя. Если вы предоставляли данные своей кредитной карты в PlayStation Network или Qriocity, мы считаем своим долгом предупредить вас о том, что номер вашей карты (за исключением кода безопасности CVV2) и срок ее действия могли стать доступны мошеннику».

Кому верить, вот вопрос.

Я бы порекомендовал всем пользователям PSN получить новые банковские карты. А если вы используете в Facebook, MSN, электронной почте и на форумах тот же пароль, что и в PSN, советуем всюду его срочно поменять.

Вчера после длительного простоя сервиса компания Sony сообщила, что геймерская сеть Sony PlayStation подверглась атаке хакеров. Sony признала, что неизвестному взломщику стали доступны личные данные пользователей, предоставленные при регистрации: имена, электронные и почтовые адреса, даты рождения, логины и пароли. Возможно даже, что в его распоряжение попали ответы на секретные вопросы. Представитель Sony также заявил: «В настоящее время нет доказательств того, что были похищены данные кредитных карт, но мы не исключаем такой возможности». В компании не строят предположений относительно того, когда игровая сеть «вернется в строй», но говорят, что восстановительные работы ведутся, а для проведения объективного и всестороннего расследования происшедшего привлечена авторитетная компания, специализирующаяся на вопросах безопасности.

Игровые консоли на таких платформах как Playstation и XBOX невероятно популярны. Их успех во многом объясняется тем, что за ними стоят организованные производителями сети, позволяющие докупать игры, контент и иметь доступ к сторонним сервисам, таким как Netflix. Пока непонятно, какие методы были использованы для атаки на геймерскую сеть Playstation, но уже ясно, что хакеры заинтересовались новыми путями сбора персональной информации. Также очевидно, что Sony не предпринимала достаточно усилий, чтобы обеспечить безопасность и сохранность данных пользователей.

Вся эта история — еще одно свидетельство того, что хакеры все больше интересуются альтернативными источниками персональных данных пользователей. Консольным сетям доверяют больше, потому что их репутация еще не испорчена инцидентами, связанными с проблемами с безопасностью данных, как у веб-сайтов и персональных компьютеров.

Если Вы являетесь пользователем PSN, мы настоятельно рекомендуем вам особенно внимательно следить за своей кредитной картой на случай появления признаков мошенничества. Мы также советуем всем геймерам сети срочно поменять свои пароли к PSN, если они использовались где-либо еще. Наконец, поскольку злоумышленники получили базу e-mail-адресов геймеров, увеличился риск фишинговых атак: от имени Sony или ее партнеров они могут посылать письма с требованием сообщить любые персональные данные.

Китайский суд приговорил к тюремному заключению 11 участников криминальной группировки, занимавшейся созданием и распространением троянских программ для кражи учетных записей на игровых серверах.

Из них двое вирусописателей были осуждены на 2,5 и 3 года, наиболее успешный «менеджер по продажам» — на 2 года и 8 месяцев, остальные получили меньшие сроки. В совокупности осужденным удалось похитить 5,3 млн. идентификаторов к онлайн-играм и выручить около 950 тыс. юаней (139 тыс. долларов) от продаж игровых троянцев и украденных виртуальных ценностей.

Ответчики были также совокупно оштрафованы на 833 тыс. юаней (около 122 тыс долларов). Приговоры другим участникам группировки, в которую входили 80 человек, будут вынесены в ближайшее время. По оценкам, общая сумма нанесенного ими ущерба может составлять 30 млн. юаней (примерно 4,4 млн. долларов).

Сетевые игры пользуются большой популярностью в Китае. По официальным данным, к концу июня число онлайн-игроков в стране достигло 217 млн. — 64,2% от общего числа интернет-пользователей. При таких масштабах национального увлечения атаки на игровые сервисы являются весьма прибыльным предприятием.

Около 650 тысяч участников онлайн-игры Second Life получили от организаторов рекомендации сменить свои игровые пароли, сообщает сайт BBC News. Причина такой рекомендации — несанкционированный доступ к базе данных игры, в которой хранятся имена, адреса, пароли и зашифрованные сведения о кредитных картах игроков. Создатели игры — компания Linden Lab — уверяют, что вторая база данных, в которой сведения о кредитных картах представлены в незашифрованном виде, находится в порядке.

Брешь в системе хранения Second Life была обнаружена 6 сентября. 8 сентября Linden Lab проинформировала всех игроков о проблеме и порекомендовала им получить новые пароли. «Мы осознаем, что причиняем неудобства для постоянных игроков, но в то же время понимаем, что действуем наиболее безопасным способом», — заявил технический директор Linden Lab Кори Ондрейка (Cory Ondrejka).

В минувшие выходные создатели игры обновили настройки своей системы безопасности, чтобы помочь пользователям, которые забыли или потеряли часть информации для перевыпуска паролей.

Игроки в Second Life могут покупать виртуальную землю и проводить время всеми приятными способами, попробовать которые в реальной жизни они никогда не смогут. Second Life приобрела широкую известность и потому, что многие реальные компании создают в игре свои виртуальные магазины. Например, недавно American Apparel создала цифровые копии своих настоящих магазинов, в которых можно купить виртуальную надежду для участников Second Life. Согласно данным, представленным на сайте игры, за последние 60 дней к ней присоединились 286 тысяч участников.

Расследование, проведенное специалистами Linden Lab, показало, что атака на базу данных связана с брешью в ее программном обеспечении. Рекомендация обновить пароли, адресованная всем пользователям, свидетельствует о серьезном характере взлома базы данных. Подобный шаг означает, что администраторы базы не смогли установить, чьи именно данные оказались доступны хакеру.