Winnti – Trojan tấn công chủ đích vào các công ty game online

177

Các cuộc tấn công vào các công ty phát triển và phát hành game, đặc biệt là các game trực tuyến nhiều người chơi (MMORPG), trong đó có cả ở Việt Nam dường như đều liên quan tới cái tên “Winnti”

Kaspersky Lap đã bắt đầu cuộc nghiên cứu này vào mùa thu năm 2011, và mục đích của cuộc nghiên cứu là để tìm hiểu về một chuỗi các cuộc tấn công vào các công ty tư nhân trên toàn thế giới. Trong cuộc nghiên cứu này, Kaspersky đã phát hiện ra hành động của một nhóm hacker có xuất xứ từ Trung Quốc và đặt tên là “Winnti”.

Theo như dự đoán, nhóm này đã hoạt động rất nhiều năm và chuyên thực hiện  các cuộc tấn công vào ngành công nghiệp trò chơi điện tử. Mục đích chính là đánh cắp mã nguồn của các dự án game trực tuyến và bản quyền số của các phần mềm hợp pháp. Thêm vào đó, chúng còn rất “hứng thú” với việc tìm hiểu quá trình sản xuất các máy chủ dành cho game trực tuyến và còn nhiều thứ khác nữa.

Bắt đầu…

Vào mùa thu năm 2011, một Trojan đã được phát hiện trên một số lượng máy tính khổng lồ, tất cả đều có điểm chung là được sử dụng bởi người chơi của “một game online nổi tiếng”. Dường như, Trojan này đã xâm nhập vào máy tính của người sử dụng thông qua các bản cập nhập chính thức của game. Đã có nhiều nghi ngờ về việc nhà phát hành tự ý theo dõi người chơi của mình. Tuy nhiên, cuối cùng, mục tiêu của Trojan này lại không phải là máy tính của người dùng mà chính là máy chủ của các công ty phát triển và phát hành game. Chúng cho phép tội phạm mạng có khả năng khống chế toàn bộ máy tính mà chủ nhân không hề hay biết.

Bước đầu, Kaspersky đã nhận diện được một vài loại backdoors tương tự, cả ở nền tảng 32-bit lẫn 64-bit trong thư viện của mình. Kaspersky đã nhóm chúng lại thành những nhóm riêng biệt. Symantec là công ty đầu tiên đặt tên cho loại phần mềm gián điệp này với tên gọi “Winnti”, và với những người đứng đằng sau các cuộc tấn công này, Kaspersky gọi chúng là “nhóm Winnti”.

Có một điều thú vị là dường như nó có liên quan tới một công ty được gọi là KOG, có nguồn gốc từ Hàn Quốc với ngành nghề kinh doanh chính là game trực tuyến (MMORPG). Kaspersky đã liên lạc với KOG và thông báo cho Verisign, kết quả, chứng chỉ số đã bị thu hồi.

winnti2

 

Chứng chỉ số bị đánh cắp (Stolen Digital Certificates)

Khi Kaspersky khám phá ra chứng chỉ số bị đánh cắp, họ không hề nhận ra rằng việc đánh cắp này và gắn chúng vào các malware dành cho những cuộc tấn công tiếp theo chính là phương pháp của nhóm tội phạm mạng này. Trong 18 tháng tiếp theo, họ đã tìm thấy một loạt các chứng chỉ số tương tự khác. Hơn thế nữa những chứng chỉ số này cũng được sử dụng trong các cuộc tấn công của các nhóm hacker khác, chủ yếu có nguồn gốc từ Trung Quốc.

…Và các nạn nhân…

Như đã nói ở trên, mục tiêu của Winnti không phải một cơ quan chính phủ, chính trị, quân đội hay công nghiệp nào mà chính là các công ty phát triển và phát hành game. Thực sự rất khó để kể tên hết các “nạn  nhân” của nhóm Winnti. Theo đánh giá từ thông tin từ Kaspersky thì có ít nhất 35 công ty đã bị nhiễm loại malware này tại nhiều thời điểm khác nhau. Và mục tiêu của chúng cũng rải rác trên toàn thế giới. Nhóm Winnti hoạt động nhiều nhất trong khu vực Đông Á và xác định được 14 công ty game bị nhiễm virus ở Hàn Quốc.

winnti3

 

winnti1

 

Dưới đây là danh sách các công ty đã có giấy chứng nhận của họ bị đánh cắp. Danh sách dưới này không bao gồm tất cả các công ty bị tổn hại. Một số công ty Kaspersky đã tự nguyện hỗ trợ nghiên cứu và điều tra yêu cầu giữ kín danh tính.

  • ESTsoft Corp
  • Kog Co., Ltd.
  • LivePlex Corp
  • MGAME Corp
  • Rosso Index KK
  • Sesisoft
  • Wemade
  • YNK Japan
  • Guangzhou YuanLuo
  • Fantasy Technology Corp
  • Neowiz

Cũng các mấu Winnti chứa những tag, có thể các công ty đã bị vi phạm hay xâm nhập

  • Cayenne Entertainment Technology Co.,Ltd, Taiwan, tag: Wasabii
  • AsiaSoft, Thailand, tag: asiasoft
  • GameNet, Russia, tag: GameNet
  • NEXON Corporation, Japan, tag: nexon
  • VNG Corporation, Viet nam, tag: zing
  • Trion Worlds, USA, tag: TRIONWORLD
  • EYAsoft, South Korea, tag: eyaap80
  • NCsoft, South Korea, tags: aion5000, aion2008
  • Zemi Interactive, South Korea, tag: zemi
  • NHN Corporation, South Korea, tag: NHN
  • Hangame Japan, Japan, tag: hangame.jp

Mức độ phổ biến của chúng thực sự đáng ngạc nhiên. Thông thường, những công ty về game (cả phát triển lẫn phát hành) đều là những công ty đa quốc gia, có văn phòng trên toàn thế giới. Và việc các công ty liên kết hợp tác với nhau cũng không phải là lạ. Theo như thỏa thuận, các công ty liên kết thường cho phép đối tác có thể trao đổi dữ liệu về game, các bộ công cụ, mã nguồn v..v…Nếu như chỉ cần một công ty nhiễm mã độc, thì mã độc này sẽ lan ra toàn thế giới.

Các cuộc tấn công có nguồn gốc từ đâu?

Câu hỏi đặt ra là: “Ai là kẻ đứng đằng sau Winnti?”. Khi nghiên cứu, phân tích các file mã độc, họ đã tìm thấy thứ có thể sáng tỏ câu hỏi trên. Kaspersky Lab đã mô tả lại cách thức bọn tội phạm mạng tấn công các máy tính, và sau khi giải mã, đã phát hiện được những ký tự Trung Hoa và bọn tội phạm cũng sử dụng chương trình AheadLib để tạo thư viện mã độc, và chương trình này cũng có giao diện…tiếng Trung. Có vẻ như, những tên tội phạm này ít nhất cũng biết tiếng Trung, tuy nhiên, chưa thể khẳng định chắc chắn điều gì cả.

winnti4

 

Kẻ tấn công tự giới thiệu là các nhà phát triển game và tìm cách liên hệ với các nhà xuất bản game lớn, gửi email giả mạo đồng nghiệp và trong nội dung thư có đính kèm virus, khi phân tích dạng virus đó thì thấy được là đây là dạng virus được phát hiện trong các cuộc tấn công nhắm mục tiêu hoạt động chính trị và các tổ chức chính phủ, khi so sánh dữ liệu thu thập được qua phân tích mẫu virus này có thể chắc chắn rằng đây là hình thức tấn công khác của nhóm Winnti đã cố gắng thâm nhập vào hệ thống máy tính của công ty game được gọi là PlugX

Kết luận

Những nghiên cứu Kaspersky đã phát hiện ra một âm mưu lâu dài về những cuộc tấn công quy mô lớn của các nhóm hacker có nguồn gốc từ Trung Quốc. Những cuộc tấn công này thực sự không mới, mặc dù vậy, nhóm hacker này đã thực sự nổi bật cho với số còn lại bằng cách: Đánh cắp chứng chỉ số và sử dụng chứng chỉ này để tấn công các công ty khác và lặp lại quy trình trên, lợi dụng sự đa dạng của internet để chia sẻ, bán các chứng chỉ số này cho các nhóm hacker khác và trên hết, chúng đánh cắp mã nguồn và các tài sản trí tuệ của các công ty phát hành game. Mọi nghi ngờ lúc này đều đổ dồn vào các nhóm hacker có nguồn gốc từ Trung Quốc.