Ceci n’est pas un jeu

Sommaire

Kaspersky Lab a débuté cette recherche à l’automne 2011 et les travaux se poursuivent. Ils portent actuellement sur une série d’attaques organisées contre des sociétés privées à travers le monde.

Dans le cadre de cette recherche, nous avons dévoilé les activités d’un groupe de pirates d’origine chinoise que nous avons baptisé « Winnti ».

D’après nos estimations, cela fait plusieurs années que ce groupe est actif et qu’il se spécialise dans l’organisation de cyberattaques contre le secteur des jeux vidéo en ligne. L’objectif principal est le vol des codes source des projets de jeux vidéo en ligne et des certificats numériques d’éditeurs de logiciels légitimes. De plus, ce groupe est très intéressé par la mise en place d’une infrastructure de réseau (dont des serveurs de jeu de production) et de nouveaux développements comme des idées et des designs conceptuesl, etc.

Nous ne sommes pas les premiers à nous intéresser à ce groupe et à avoir enquêté sur les attaques qu’il a organisées. Ainsi en 2010, la société américaine HBGary a réalisé une enquête sur un incident de sécurité des données en rapport avec le groupe Winnti chez un de ses clients, l’éditeur américain de jeux vidéo.

Winnti

A l’automne 2011, un cheval de Troie a été détecté sur l’ordinateur d’un grand nombre d’adeptes d’un jeu en ligne populaire. Ce programme malveillant s’était introduit sur l’ordinateur des victimes lors d’une mise à jour diffusée via le serveur officiel du jeu. Certaines personnes avaient même soupçonné la société derrière ce jeu de surveiller les joueurs. Cependant, les ordinateurs des joueurs furent infectés par erreur car la cible du programme malveillant n’était pas les joueurs, mais bien les développeurs et les éditeurs de jeux vidéo.

L’éditeur de jeux dont les serveurs avaient été impliqués dans la diffusion du cheval de Troie a contacté Kaspersky Lab afin d’analyser le programme malveillant que des employés de la société avaient détecté sur le serveur de mises à jour. Il s’agissait d’une bibliothèque dll compilée pour un système Windows 64 bits, et contenait même un pilote malveillant doté d’une signature digitale correcte.

Le module malveillant était le premier cheval de Troie pour la version 64 bits de Microsoft Windows avec une signature numérique valide que nous avons rencontré. Nous avions été confrontés à des incidents similaires par le passé, mais uniquement pour des applications 32 bits.

La bibliothèque malveillante était diffusée sur les ordinateurs des joueurs dotés d’une version 32 bits ou 64 bits du système d’exploitation. Toutefois, elle ne pouvait pas s’exécuter sur les systèmes 32 bits. Sur les systèmes 64 bits, ce programme malveillant pouvait, sous certaines conditions, être exécuté à l’insu de l’utilisateur. Nous n’avons cependant détecté aucun cas de lancement accidentel.

La bibliothèque DLL était dotée d’une fonction de porte dérobée, plus exactement d’un outil d’administration à distance complet, qui permettait aux individus malintentionnés de gérer l’ordinateur infecté à l’insu de l’utilisateur.
Dès le début de l’enquête, nous avions trouvé dans notre collection tout un groupe de portes dérobées similaires (32 et 64 bits) détectées sous des verdicts différents. Nous les avons regroupées dans une famille distincte. Ce programme malveillant semble avoir été nommé pour la première fois par la société Symantec sous le nom Winnti. Nous avons décidé d’y faire référence dans le nom de la famille : Backdoor.Win32(Win64).Winnti. Quant au groupe à l’origine des attaques impliquant cet outil d’administration à distance, nous l’avons baptisé « theWinntigroup ».

Il est intéressant de constater que la signature numérique appartenait à un autre éditeur de jeux vidéo, une société privée appelée KOG et établie en Corée. Cet éditeur se consacrait principalement aux jeux MMRPG, tout comme la première victime.

Nous avons contacté KOG, dont le certificat avait été utilisé pour signer un programme malveillant et nous avons alerté Verisign qui avait émis le certificat pour Kog. Ce certificat a été révoqué.

Certificats numériques

Lorsque nous avons découvert le premier certificat numérique volé, nous n’avons pas tout de suite compris que le vol de certificats et la signature des programmes malveillants pour les attaques à venir contre d’autres victimes étaient la méthode préférée de ce groupe. En dix-huit mois, nous avons détecté plus d’une douzaine de certificats numériques compromis de la sorte.

De plus, nous avons vu que ces certificats numériques semblaient avoir été utilisés dans des attaques organisées par d’autres groupes de pirates d’origine chinoise également.

Ainsi, lors d’une attaque contre les réseaux sociaux coréens Cyworld et Nate en 2011 ( http://www.bbc.co.uk/news/technology-14323787), les auteurs de l’attaque ont utilisé un cheval de Troie qui avait été signé à l’aide d’un certificat de l’éditeur de jeux en ligne YNK Japan Inc.

Un certificat numérique de la même société a été utilisé récemment (mars 2013) dans des chevaux de Troie visant des activistes tibétains et ouïghours (https://www.securelist.com/en/blog/208194165/New_Uyghur_and_Tibetan_Themed_Attacks_Using_PDF_Exploits). En fait, l’origine de cette histoire remonte bien avant 2011. Nous recommandons vivement la lecture du billet de Norma sur un incident semblable : http://blogs.norman.com/2011/security-research/invisible-ynk-a-code-signing-conundrum.

A la même époque (mars 2013) des activistes ouïghours étaient la cible d’un autre programme malveillant posédant la signature numérique d’un autre éditeur de jeux appelé MGAME Corp d’après https://www.f-secure.com/weblog/archives/00002524.html.

Nous pensons que le même groupe pourrait se cacher derrière tous ces vols, à savoir Winnti. Soit ce groupe entretient une relation très étroite avec d’autres groupes de pirates chinois, soit il vend les certificats sur le marché noir en Chine.
Voici la liste des sociétés qui ont été touchées et dont les certificats numériques ont été utilisés par le groupe Winnti dans différentes campagnes :

Société Numéro de série Pays
ESTsoft Corp 30 d3 fe 26 59 1d 8e ac 8c 30 66 7a c4 99 9b d7 Corée du Sud
Kog Co., Ltd. 66 e3 f0 b4 45 9f 15 ac 7f 2a 2b 44 99 0d d7 09 Corée du Sud
LivePlex Corp 1c aa 0d 0d ad f3 2a 24 04 a7 51 95 ae 47 82 0a Corée du Sud / Philippines
MGAME Corp 4e eb 08 05 55 f1 ab f7 09 bb a9 ca e3 2f 13 cd Corée du Sud
Rosso Index KK 01 00 00 00 00 01 29 7d ba 69 dd Japon
Sesisoft 61 3e 2f a1 4e 32 3c 69 ee 3e 72 0c 27 af e4 ce Corée du Sud
Wemade 61 00 39 d6 34 9e e5 31 e4 ca a3 a6 5d 10 0c 7d Japon/ Corée du Sud /US
YNK Japan 67 24 34 0d db c7 25 2f 7f b7 14 b8 12 a5 c0 4d Japon
Guangzhou YuanLuo 0b 72 79 06 8b eb 15 ff e8 06 0d 2c 56 15 3c 35 Chine
Fantasy Technology Corp 75 82 f3 34 85 aa 26 4d e0 3b 2b df 74 e0 bf 32 Chine
Neowiz 5c 2f 97 a3 1a bc 32 b0 8c ac 01 00 59 8f 32 f6 Corée du Sud

Victimes de l’attaque

On pourrait croire que les victimes potentielles des attaques ciblées ou des menaces persistantes avancées (APT) sont principalement des institutions gouvernementales, des ministères, des sociétés du secteur de la défense, des usines chimiques, des réseaux des forces armées, des partis politiques, des réseaux des infrastructures critiques, etc. Et dans le cas où la cible est une société privée, celle-ci doit être du niveau de Google ou d’Adobe. Cette perception s’explique par le fait que ce sont les attaques menées contre des institutions gouvernementales qui reçoivent la plus grande couverture médiatique. Mais dans la réalité, n’importe quelle société qui possède des données qui pourraient être rentabilisées pourrait devenir la victime d’une attaque APT. C’est bien de cela qu’il s’agissait ici : les attaques APT étaient menées non pas contre des institutions gouvernementales, politiques, militaires ou industrielles, mais bien contre des sociétés de jeux vidéo.

Il est difficile de nommer toutes les victimes du groupe Winnti. Mais sur la base des informations dont nous disposons (balises dans les programmes malveillants, noms de domaines des centres de contrôle, sociétés dont les certificats ont été volés pour signer les programmes malveillants, pays d’origine des notifications de la détection de programmes malveillants du groupe Winnti), nous pouvons affirmer qu’au moins 35 sociétés sont touchées ou ont été touchées à un moment ou à un autre par ce groupe d’individus malintentionnés.

Asie Europe Amérique latine Amérique du Nord
Chine Allemagne Brésil USA
Corée du Sud Belarus Pérou
Vietnam Belarus
Inde Russie
Indonésie
Japon
Philippines
Taïwan
Thaïlande

Ces données démontrent que le groupe Winnti vise des sociétés de jeux vidéo du monde entier, même s’il existe un attrait évident pour l’Est asiatique.

Intérêt mercantile

Comme nous l’avons déjà dit, n’importe quelle société peut être la cible d’une attaque APT si les individus malintentionnés ont trouvé un moyen de retirer un revenu de cette attaque.

Comment les individus malintentionnés qui attaquent des sociétés de jeux vidéo peuvent-ils gagner de l’argent ?

Sur la base des données en notre possession, nous avons identifié 3 méthodes principales utilisées par le groupe Winnti pour rentabiliser les informations obtenues.

  1. Accumulation malhonnête de devises/de pièces d’or des jeux et transformation de ces ressources virtuelles en argent réel.
  2. Vol des codes sources des parties serveur des jeux en ligne afin d’y rechercher des vulnérabilités. Pour la suite, cf. point 1.
  3. Vol des codes sources des parties serveur des jeux en ligne populaires pour y déployer des serveurs pirates.

Voici un exemple. Lors de notre analyse d’une attaque contre une de ces sociétés, nous avons remarqué que le programme malveillant avait été créé pour un service particulier exécuté sur le serveur de cette société. Il recherchait sur le serveur un processus actif défini, s’introduisait dans son code, recherchait dans le code à l’aide de caractères génériques deux emplacements définis et y plaçait les appels de ses fonctions d’interception. Dans les fonctions d’interception, le programme malveillant modifiait les données du processus traitées à ces deux emplacements et rendait le contrôle. Les individus malintentionnés influençaient le processus serveur en modifiant le déroulement normal de son exécution. Malheureusement, la société n’a pas été en mesure de partager avec nous l’application cible et nous ne pouvons pas par conséquent expliquer l’impact du programme malveillant sur les processus dans le jeu par exemple. La victime nous a indiqué que le but des individus malintentionnés était tout simplement d’obtenir de manière illicite des « pièces d’or » du jeu.

L’intervention des individus malintentionnés a bien entendu un impact négatif sur le jeu en lui-même car elle fait pencher la balance du côté des tricheurs. Il ne faut toutefois pas s’attendre à ce que les modifications introduites dans les jeux par le groupe Winnti soient remarquées par tout le monde. Un équilibre réaliste est l’attribut principal de n’importe quel jeu en ligne. Les joueurs peuvent tout simplement arrêter de jouer s’ils se rendent compte que certaines personnes franchissent les étapes bien plus facilement qu’eux ou si des ressources ou des artefacts non recensés par les développeurs font leur apparition et enlèvent la tension du jeu. Et les individus à l’origine de l’attaque ont tout intérêt à ce que le jeu conserve sa popularité, sans quoi ils ne pourront pas facilement rentabiliser leurs efforts pour infecter une société ou une autre.

Les membres du groupe Winnti sont patients et prudents. Les individus malintentionnés influent pendant des années le déroulement des jeux des sociétés victimes. Ils obtiennent de l’argent de l’opération, mais ils agissent de façon à ne pas attirer l’attention.

Source de l’attaque

Qui se cache derrière le groupe Winnti ? L’analyse des fichiers malveillants que nous avons découverts pendant notre étude nous a permis d’identifier certains détails qui peuvent nous en apprendre un peu plus sur la source des attaques.

Dans le cadre d’une des étapes de l’enquête, nous avons surveillé les actions des individus malintentionnés sur l’ordinateur infecté. Ils avaient chargé dans le dossier Config.Msi de l’ordinateur infecté le programme auxiliaire ff.exe qui recherchait les documents HTML, MS Excel, MS Word, Adobe, PowerPoint, MS Works et les fichiers .txt sur le disque dur.

Le programme ff._exe_ contenait des lignes de débogage qui fournissaient des indices sur la nationalité probable des individus malintentionnés. Ces indices ne sautaient pas aux yeux car ils apparaissaient de la manière suivante dans l’éditeur :


L’analyse détaillée permit de définir qu’il s’agissait d’un texte écrit dans le code « Chinois simplifié GBK » et voici à quoi ressemblent ces lignes en chinois :


Voici la traduction automatique de ce texte :
Type de système de fichiers non reconnu
Impossible d’ouvrir le volume
Impossible d’obtenir le type de système de fichiers
Volume lu n’a pas réussi
Echec des volumes ouverts ou non ouverts
Passez à la racine de l’erreur
Mémoire lire indice d’erreur
Mémoire trop petite
Le fichier n’existe pas
Le secteur n’a pas obtenu le fichier d’index MFT
Chemin d’accès au fichiers des données non
Le volume n’est pas le même et ouvert
Volume ouvert avec même volume

De plus, les cybercriminels utilisaient également le programme AheadLib pour

créer des bibliothèques malveillantes (cf. la 2e partie de l’article pour les détails). Il s’agit d’un programme dont l’interface est en chinois.
Du texte en chinois a également été détecté dans un des modules utilisé par l’application malveillante (plug-in CmdPlus.dll) :


Traduction : Le processus est terminé!!

Tout semble indiquer que les auteurs de ces attaques maîtrisent au moins le chinois. Mais il y a un « mais » : à cause des failles de sécurité dans la réalisation du plug-in de transfert des fichiers, une commande indiquant un chemin d’accès local aux auteurs de l’attaque (provenance ou stockage du fichier) est reçue pendant le chargement/téléchargement des fichiers sur l’ordinateur infecté. Pendant l’observation du comportement des individus malintentionnés sur l’ordinateur infecté, nous avons observé qu’ils téléchargeaient le certificat depuis le système infecté et un chemin d’accès local indiquant l’emplacement de ce fichier sur leur ordinateur apparaissait :

Il s’agit de caractères coréens qui signifient « Bureau ». Autrement dit, les auteurs de l’attaque travaillaient sur une version coréenne du système d’exploitation.Ceci indique que l’attaque n’est pas uniquement organisée par des individus qui parlent chinois.

Conclusion

Notre enquête a mis en évidence une campagne de cyberespionnage d’envergure et de longue durée organisée par un groupe criminel d’origine chinoise. Ces attaques ne sont pas neuves et d’autres chercheurs ont publié des informations sur différents groupes cybercriminels chinois. Toutefois, le groupe dont il est question ici possède des caractéristiques qui permettent de le distinguer de tous les autres.
– Utilisation poussée de certificats numériques ; les auteurs des attaques ont utilisé les certificats de sociétés victimes pour attaquer de nouvelles organisations et voler encore plus de certificats numériques ;
– Utilisation d’un pilote 64 bits d’outil de dissimulation d’activité possédant une signature numérique valide ;
– Utilisation d’un nombre important de services Internet publics pour héberger les instructions chiffrées d’administration des systèmes infectés.
– Transfert/vente des certificats volés à d’autres groupes de pirates chinois poursuivant d’autres objectifs (par exemple, attaques contre des activistes ouïghours ou tibétains).
– Vol des codes source et autres types de propriété intellectuelle des éditeurs de jeux vidéo en ligne.

Le programme malveillant que nous avons baptisé « Winnti » a beaucoup évolué depuis son apparition, mais nous classons toutes les versions selon deux générations principales : 1.x et 2..x.

La description technique de la première génération de Winnti fera l’objet d’un article distinct.

La deuxième génération (2.x) a été utilisée dans une des attaques que nous avons étudiées pendant sa période active. Nous avons réussi à empêcher le transfert de données au serveur des individus malintentionnés et à isoler les systèmes infectés dans le réseau local de la société. Cet incident ainsi que les résultats de notre enquête sont repris dans le rapport complet sur le groupe Winnti (PDF).

De plus, nous avons détecté l’utilisation par le groupe Winnti d’une porte dérobée populaire (PlugX) qui trouve également ses origines en Chine. Toutefois, cette porte dérobée avait été utilisée uniquement dans le cadre d’attaques contre des activistes tibétains.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *