Posté le mai 23, 2020 à 18:06

UN GROUPE DE HACKERS ATTAQUE DES SOCIÉTÉS DE JEUX ASIATIQUES AVEC UN LOGICIEL MALVEILLANT SOPHISTIQUÉ

Un rapport récent a révélé qu’un groupe de hackers a été identifié, attaquant des sociétés de jeux asiatiques avec un logiciel malveillant pouvant infecter les systèmes des utilisateurs.

La société de cybersécurité ESET a publié hier un rapport indiquant comment le groupe de hackers, connu sous le nom de « Winnti Group », s’infiltrait dans les serveurs de jeux en ligne massivement multijoueurs (MMO).

Cependant, ESET n’a pas nommé les sociétés de jeux concernées. Elle a plutôt déclaré que les sociétés étaient basées en Asie. ESET a également déclaré que les sociétés de jeux sont très populaires dans le monde entier et que leurs jeux sont joués en ligne et distribués partout dans le monde. Les jeux sont également disponibles sur des plateformes de jeux populaires avec des milliers de joueurs qui jouent en simultané.

Dans l’une des attaques,  les cybercriminels ont détourné l’un des « serveurs d’orchestration » de la société de jeux, ce qui leur a permis d’implanter du logiciel malveillant dans les exécutables du jeu. Mais ESET n’a pas été en mesure de savoir si les hackers ont choisi de capturer les fichiers programme du jeu. Dans une attaque similaire, le cybercriminel a réussi à manipuler la monnaie virtuelle du jeu pour en tirer des gains financiers.

On ne sait pas exactement comment le logiciel malveillant, nommé PipeMon, a réussi à se glisser dans le système. Cependant, le logiciel malveillant se cachait sous des noms de programmes, dont setup.exe analogue à slack.exe.

De plus, les hackers ont volé et incorporé des certificats de signature de code d’un véritable vendeur de jeux. Par conséquent, le logiciel malveillant a réussi à contourner les protections de sécurité sur Windows après l’installation.

Le groupe de hackers a réussi à pirater les serveurs des entreprises dans le passé

Winnti est le nom d’un groupe de hackers qui a piraté des sociétés de jeux en Asie depuis 2009. La principale indication trouvée par les chercheurs d’ESET n’était pas une charge utile, comme c’est le cas pour d’autres attaques similaires. Au lieu de cela, ESET a vu les exécutables qui ont déclenché une attaque de logiciel malveillant, connue sous le nom de fichier compte-gouttes.

Le but principal des attaquants est de voler la propriété intellectuelle des entreprises, et ils ont été très occupés dans les entreprises de jeux asiatiques.

Plusieurs indicateurs ont montré que le groupe Winnti était responsable de l’attaque

Selon Mathieu Tartare, chercheur d’ESET, ESET a pu mettre en évidence l’attaque du groupe Winnti grâce à de multiples indicateurs. « De multiples indicateurs nous ont conduit à attribuer cette campagne au groupe Winnti », a-t-il déclaré.

Il a en outre expliqué que le groupe de hackers Winnti a utilisé certains des serveurs de commande et de contrôle utilisés par PipeMon lors de campagnes précédentes.

Toutes les sociétés de jeux concernées ont été contactées

ESET a déclaré qu’elle avait déjà informé toutes les sociétés de jeux concernées et leur avait donné des conseils sur les meilleurs moyens de supprimer le logiciel malveillant. Les sociétés ont également annulé les certificats de signature de code et les vulnérabilités ont été corrigées.

Le groupe Winnti n’est pas encore éliminé

Le groupe Winnti n’est peut-être pas encore éliminé, comme le montrent plusieurs indications. Le groupe a une longue histoire en matière d’infiltration des sociétés de jeux vidéo pour voler des certificats de signalisation de code et des codes sources. L’ESET a déclaré que le groupe était également responsable de l’infiltration du vendeur de PC et de CCleaner d’Avast en 2017.

Ils ont infiltré le serveur pour avoir accès à l’implantation de logiciels malveillants dans le programme utilisé par des millions de personnes. Avec leurs antécédents en matière d’attaque de l’industrie du jeu, il suffira de dire qu’ils seraient de retour, selon l’ESET.

Des logiciels malveillants pourraient s’attaquer aux systèmes Windows 7

Les chercheurs d’ESET ont déclaré qu’il s’agissait d’une attaque bien conçue qui utilisait des certificats numériques volés pour donner accès aux pilotes du logiciel malveillant Winnti.  Cependant, l’utilisation du contournement DSEFix indique que le logiciel malveillant est ancien et semble cibler les systèmes Windows 7.

Il montre également que le logiciel malveillant peut avoir utilisé le tunellisation DNS, qui est également une ancienne méthode de transfert de données à travers et hors d’un réseau sans être détecté.

Cela montre que, bien que l’attaque ait pu avoir lieu en février de cette année, il est possible qu’il y ait eu un lien avec des opérations de piratage menées il y a plusieurs années. Et ces séries d’attaques peuvent avoir été faites par un seul groupe réparti sur plusieurs sous-groupes, a conclu ESET.