天下网吧 >> 网吧天地 >> 网吧行业 >> 网络追踪 >> 正文

卡巴斯基发现专门针对网游公司的中国黑客组织

2013-4-13SolidotSolidot
:卡巴斯基发现专门针对网游公司的中国黑客组织

卡巴斯基实验室公布了对中国(疑似)黑客组织Winnti的详细分析报告(PDF),发现该组织与最近发生的许多攻击事件存在千丝万缕的联系。

Winnti组织专门针对游戏公司托管的服务器,窃取源代码创建私服,同时盗窃钱财或虚拟货币。它攻击了超过30家网络游戏公司,受害者包括了2家北美公司,14家韩国公司,2家德国公司,2家俄罗斯公司。Winnti的网络间谍活动至少持续了四年,它引起关注是在2011年,一种木马在网游玩家之间传播,这种木马是通过官方游戏服务器的定期更新下载到玩家电脑上的,有人怀疑是游戏公司试图监视玩家。但随后的调查发现,网游公司才是攻击目标。卡巴斯基分析了游戏更新服务器上找到的恶意程序,发现该恶意程序是一个为64位Windows环境编译的DLL库,使用了一个正确签名的驱动,包含了RAT(远程管理工具)。赛门铁克将该木马命名为Winnti,卡巴斯基延用了这一名字。

木马使用的数字证书属于韩国网络游戏公司KOG,由Verisign发行,现已撤销。该证书只是Winnti组织使用的一系列游戏公司数字证书之一。卡巴斯基注意到一种巧合:2011年攻击韩国社交网站Cyworld和Nate的木马使用的数字证书来自日本游戏公司 YNK Japan ;上个月攻击西藏和维吾尔活动人士的木马使用的证书同样来自YNK Japan;另一起攻击维吾尔活动人士的木马使用的证书来自游戏公司MGAME Corp...卡巴斯基认为,所有被窃取的游戏公司数字证书都源于Winnti组织,该组织要么与其它中国黑客组织关系密切,要么通过地下黑市供应了数字证书。

卡巴斯基分析的显示,恶意程序依赖于一位杀毒软件公司中国研究员开发的木马分析工具AheadLib,恶意程序作者发现AheadLib可以方便的创建恶意程序代理库(malicious proxy-libraries)。当受害者感染木马之后,它会下载程序ff._exe到Config.Msi文件夹内,搜索HTML、MS Excel、MS Word、Adobe、PowerPoint和MS Works文档,以及TXT文本文件。研究人员在其编码中发现了中文字符。

研究人员通过各种线索对攻击者身份展开了搜索,发现了一些可能是团队成员的网站和博客,如:http://zhikou.yo2.cn/,http://www.exploit,db.com/exploits/11053/,http://zzsky.5d6d.net/archiver/tid-127.html,http://forum.cnsec.org/thread-50222-1-1.html,http://zzsky.5d6d.net/archiver/tid-127.html....代码中的一个字符ydteam似乎指向了黑客网站 ydteam.cn,WHOIS搜索发现注册人叫魏楠,注册商是北京新网数码信息技术公司,魏楠的邮箱是wn6805@126.com,QQ号97676416,出生日期1992年12月21日...感兴趣的人可阅读PDF。

本文来源:Solidot 作者:Solidot

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行