Un gioco senza regole

Gli esperti di Kaspersky Lab stanno conducendo alcune ricerche su una serie di attacchi mirati contro le aziende produttrici di videogiochi. Pare che i cyber-criminali siano in grado di rubare

attacco_industria_videogioco

Gli esperti di Kaspersky Lab stanno conducendo alcune ricerche su una serie di attacchi mirati contro le aziende produttrici di videogiochi. Pare che i cyber-criminali siano in grado di rubare codici sorgenti, certificati digitali e persino i soldi virtuali dei giocatori. Oggi parleremo dunque di hacker e videogiochi.

Le minacce APT (Advanced Persistent Threat – attacchi sofisticati e persistente, diretti ad un oggetto specifico) non colpiscono solo le agenzie governative o le basi militari. I cyber-criminali potrebbero benissimo decidere di spendere il loro tempo e il loro denaro nell’hackerare una comune azienda, se esistono solide opportunità di guadagno. È ciò che è emerso da una ricerca di Kaspersky Lab. Il team Kaspersky ha infatti scoperto un gruppo di criminali che starebbe spiando alcune aziende produttrici di videogiochi.

Sebbene i cyber-criminali attacchino soprattutto i computer di proprietà delle aziende di videogiochi, la prima infezione che abbiamo identificato riguarda un computer di un giocatore ordinario. Per un errore, un Trojan si installò in un server di aggiornamenti e venne scaricato da alcuni giocatori. Il Trojan catturò immediatamente l’attenzione dei malware analyst perché era un RAT (Remote Administration Tool) a dare all’hacker il controllo sul computer della vittima. Inoltre esso includeva un driver con certificato autentico e firmato e, per questo, poteva essere installato senza inviare messaggi di allerta o notificazioni.

Studiando come questo file poteva insinuarsi in un server di aggiornamenti, è venuta a galla un’operazione di cyberspionaggio su vasta scala, degna di un film di Hollywood. Nella prima fase venivano inviati dei messaggi phishing al computer dei dipendenti di una determinata azienda di videogiochi. Dopo aver infettato il computer, il Trojan, soprannominato Winnti, scaricava moduli per l’amministrazione remota dai server C&C e inviava report spia. In seguito, una volta stabilita la connessione manuale con il computer, i cyber-criminali valutavano la situazione e decidevano se valeva la pena continuare a monitorare il computer.  Se non ne vale la pena, rimuovevano ogni traccia dello spyware. Se incontravano dati interessanti, raccoglievano tutte le informazioni a cui riuscivano ad accedere. La priorità veniva data al furto di codici sorgente e certificati del software. Con i codici sorgente, i cyber-criminali erano poi in grado di individuare le vulnerabilità dei server dei videogiochi, creare falsi assetti di gioco, lanciare server pirata alternativi e venderne l’accesso a basso costo.  Per quanto riguarda i certificati, venivano usati per firmare nuovi programmi malware da rivendere ad altri cyber-criminali e realizzare attacchi di cyber-spionaggio politico.

Il mercato del videogioco si muove su scala globale. Le case produttrici hanno una vasta rete di uffici in tutto il mondo e collaborano con le altre aziende produttrici di videogiochi all’interno di un’ampia rete aziendale. Per questo motivo, ai cyber-criminali basta infettare una sola rete per raggiungere tutte le aziende. Nonostante sia ancora difficile stimare con esattezza le dimensioni del problema, sono state attaccate dozzine di aziende in molti paesi del mondo tra cui Russia, Germania, Stati Uniti, Cina e Corea del Sud.

Come abbiamo sottolineato i bersagli principali sono le case produttrici e gli sviluppatori; tuttavia, anche i giocatori vengono indirettamente investiti dal problema. In primo luogo, i soldi virtuali e gli oggetti posseduti dai giocatori che non tornano ai conti dagli sviluppatori, creano uno squilibrio nel mondo del gioco, tutti parametri attentamente calcolati. In secondo luogo, le aziende a cui i cyber-criminali hanno rubato il frutto di molti anni di lavoro, potrebbero non essere in grado di coprire il costo dei danni dovuti alla migrazione massiva dei giocatori dalla loro piattaforma ad un altra. In terzo luogo, gli hacker possono usare i server compromessi per inviare malware a tutti i computer dei giocatori. Non abbiamo nessuna prova che il gruppo de virus Winnti sia in grado di infettare i giocatori attraverso le aziende, ma non lo possiamo escludere.

Per evitare questa minaccia, puoi prendere le seguenti precauzioni:

  • Osserva le impostazioni per il gioco di cui sono dotate molte soluzioni di sicurezza. In genere, i prodotti antivirus non fanno apparire messaggi di avviso e riducono la scansione nella modalità (del gioco) a schermo intero per evitare effetti negativi sulla performance del computer. Assicurati che vengano prese delle precauzioni nel caso una infezione venga individuata – l’oggetto malevolo dovrebbe essere bloccato o messo in quarantena.
  • Usa una soluzione di sicurezza efficace che includa una protezione antivirus , un monitoraggio del comportamento e un firewall. Aggiorna costantemente la soluzione e prendi seriamente ogni messaggio di allarme, anche quando si tratta di file che provengono da una fonte che sembra piuttosto sicura, come il server di aggiornamenti di un videogioco.
  • I prodotti Kaspersky Lab individuano e neutralizzano i programmi malware e le varianti del groppo Winnti classificate come Backdoor.Win32.Winnti, Backdoor.Win64.Winnti, Rootkit.Win32.Winnti e Rootkit

Infine, un consiglio generale per tutti i giocatori: non appoggiate il mercato nero. Connettersi a server pirata alimentano il cybercrimine e facilitano gli attacchi diretti alle aziende di videogiochi. Questo tipo di comportamento non fa altro che ostacolare la creazione di nuovi ed interessanti videogiochi e finisce per danneggiare non solo l’industria, ma anche l’utente.

Consigli