Цільові атаки (APT - advanced persistent threat) далеко не завжди зосереджені на держустановах і військових секрети. Кіберзлочинці можуть витратити час, гроші і сили на «злом» звичайної компанії, якщо чітко розуміють, яку отримають вигоду. Це наочно доводять результати річного розслідування , Яке провели аналітики «Лабораторії Касперського», виявивши злочинну групу, цілеспрямовано які шпигують за компаніями -разработчик відеоігор.

Хоча мішенню зловмисників були виключно комп'ютери ігрових компаній, перші ознаки зараження вдалося виявити на комп'ютерах звичайних гравців. В результаті помилки хакерів один з троянець потрапив на сервер оновлень і був завантажений з нього на машини грають, де виявлений уважними користувачами. Троянець відразу привернув увагу аналітиків, оскільки був повноцінним засобом дистанційного доступу до комп'ютера (RAT - remote administration tool), даючи хакеру повну свободу дій на зараженому ПК. Крім того, що входить в його склад драйвер був підписаний справжнім і дійсним сертифікатом, тому установка зловреда могла проходити без тривожних користувача попереджень.

Разом з офіційним оновленням гри на комп'ютери користувачів потрапило шкідливий додаток

Розслідування причин, за якими такий файл міг опинитися на сервері оновлень, розкрило повномасштабну схему кібершпіонажу, реалізовану за всіма законами голлівудських бойовиків. Спочатку за допомогою персонально написаних фішингових листів конкретним співробітникам компанії-розробника підсовували шкідливе вкладення. Після успішного інфікування машини троянець, названий Winnti, скачував з командних серверів безліч модулів дистанційного керування комп'ютером і «рапортував» про обстановку. Потім один із злочинців вручну підключався до комп'ютера, оцінював ситуацію і приймав рішення, чи варто продовжувати шпигунство. Якщо немає - з машини швидко зачищають все сліди шпигуна. Якщо так - зловмисники збирали все, до чого можна дотягнутися, але особливий фокус і головне завдання злочинців складалися в крадіжці вихідних кодів ігр та сертифікатів компанії-розробника. Завдяки наявності вихідних кодів злочинці могли знаходити уразливості в ігрових серверах і створювати схему «накручування» віртуальних багатств, або запускати альтернативні піратські ігрові сервери і продавати до них доступ задешево. Що до сертифікатів, то вони використовувалися для підписання нових шкідливих програм, а також, ймовірно, перепродувалися іншим злочинцям, оскільки деякі вкрадені сертифікати «засвітилися» в інших кримінальних схемах і політичному кібершпіонажу.

Оскільки ігрова індустрія є по-справжньому глобальною і у великих компаній є філії по всьому світу, а питання локалізації та перевидання змушують розробників дуже тісно співпрацювати і організовувати один одному мережевий доступ, злочинці могли використовувати одну заражену мережу як плацдарм для проникнення в нові фірми. Хоча точний масштаб лиха визначити складно, зрозуміло, що атаці піддалися кілька десятків компаній в Росії, Німеччині, США, Китаї, Південній Кореї і багатьох інших країнах.

Хакери можуть «накручувати» собі ігрову валюту для подальшого перепродажу за справжні гроші. Ці «фальшивки» порушують ігровий баланс і роблять гру менш цікавою

Хоча цілями кримінальної групи були компанії-розробники ігор, наслідки атак відіб'ються і на звичайних гравців. По-перше, невраховані розробниками ігрова валюта і предмети створюють дисбаланс в ігровому світі, де всі параметри, включаючи грошову масу, точно підраховані. По-друге, компанії, у яких вкрадено плоди багаторічної праці, можливо, не зможуть окупити витрати на розробку через те, що частина гравців перейшли на піратські сервери, а це, в свою чергу, може критично позначитися на підтримці гри взагалі. По-третє, як вже було на початку атаки, через сервери оновлень можна закачувати шкідливі програми всім гравцям. У нас немає доказів, що Winnti цілеспрямовано заражає гравців через заражені компанії, але ми не виключаємо такої можливості. Подібне завдання може бути добре оплаченим замовленням з боку.

Щоб уникнути цієї останньої загрози, має сенс прийняти пару пересторог:

• Зверніть увагу на налаштування особливого «ігрового» режиму, який є у багатьох захисних рішень. Зазвичай антивірус в повноекранному (ігровому) режимі не виводить попереджувальних повідомлень і зводить до мінімуму перевірки, щоб не сповільнювати систему. Переконайтеся, що обрану дію при виявленні зараження безпечно - блокування об'єкта, карантин і так далі, але не пропуск.
• Використовуйте повноцінне захисне рішення, що включає антивірус, поведінковий контроль, міжмережевий екран (фаєрвол) та інші компоненти. Регулярно оновлюйте його і серйозно ставитеся до попереджуючим повідомленнями, навіть якщо вони стосуються файлів, які прийшли з надійного на ваш погляд джерела, такого як апдейт-сервер гри.
• Знайдені нами різновиди шкідливих додатків сімейства Winnti виявляються захисними рішеннями «Лабораторії Касперського» (Детектируются як Backdoor.Win32.Winnti, Backdoor.Win64.Winnti, Rootkit.Win32.Winnti і Rootkit.Win64.Winnti).

Чи не підтримуйте чорний ринок! Чи не підключайтеся до неофіційних ігрових серверів

Ну і звичайно, самий загальний порада, яку можна дати гравцям - не підтримуйте чорний ринок. Підключення до неофіційних серверів - це стимул кіберзлочинцям атакувати ігроробів знову і знову. А кожна атака - ще одна цеглина в стіні між усіма нами і новими хорошими іграми, які хтось повинен для нас зробити.