Sommaire
- Winnti
- Certificats numériques
- Victimes de l’attaque
- Intérêt mercantile
- Source de l’attaque
- Conclusion
Kaspersky Lab a débuté cette recherche à l’automne 2011 et les travaux se poursuivent. Ils portent actuellement sur une série d’attaques organisées contre des sociétés privées à travers le monde.
Dans le cadre de cette recherche, nous avons dévoilé les activités d’un groupe de pirates d’origine chinoise que nous avons baptisé « Winnti ».
D’après nos estimations, cela fait plusieurs années que ce groupe est actif et qu’il se spécialise dans l’organisation de cyberattaques contre le secteur des jeux vidéo en ligne. L’objectif principal est le vol des codes source des projets de jeux vidéo en ligne et des certificats numériques d’éditeurs de logiciels légitimes. De plus, ce groupe est très intéressé par la mise en place d’une infrastructure de réseau (dont des serveurs de jeu de production) et de nouveaux développements comme des idées et des designs conceptuesl, etc.
Nous ne sommes pas les premiers à nous intéresser à ce groupe et à avoir enquêté sur les attaques qu’il a organisées. Ainsi en 2010, la société américaine HBGary a réalisé une enquête sur un incident de sécurité des données en rapport avec le groupe Winnti chez un de ses clients, l’éditeur américain de jeux vidéo.
Winnti
A l’automne 2011, un cheval de Troie a été détecté sur l’ordinateur d’un grand nombre d’adeptes d’un jeu en ligne populaire. Ce programme malveillant s’était introduit sur l’ordinateur des victimes lors d’une mise à jour diffusée via le serveur officiel du jeu. Certaines personnes avaient même soupçonné la société derrière ce jeu de surveiller les joueurs. Cependant, les ordinateurs des joueurs furent infectés par erreur car la cible du programme malveillant n’était pas les joueurs, mais bien les développeurs et les éditeurs de jeux vidéo.
L’éditeur de jeux dont les serveurs avaient été impliqués dans la diffusion du cheval de Troie a contacté Kaspersky Lab afin d’analyser le programme malveillant que des employés de la société avaient détecté sur le serveur de mises à jour. Il s’agissait d’une bibliothèque dll compilée pour un système Windows 64 bits, et contenait même un pilote malveillant doté d’une signature digitale correcte.
Le module malveillant était le premier cheval de Troie pour la version 64 bits de Microsoft Windows avec une signature numérique valide que nous avons rencontré. Nous avions été confrontés à des incidents similaires par le passé, mais uniquement pour des applications 32 bits.
La bibliothèque malveillante était diffusée sur les ordinateurs des joueurs dotés d’une version 32 bits ou 64 bits du système d’exploitation. Toutefois, elle ne pouvait pas s’exécuter sur les systèmes 32 bits. Sur les systèmes 64 bits, ce programme malveillant pouvait, sous certaines conditions, être exécuté à l’insu de l’utilisateur. Nous n’avons cependant détecté aucun cas de lancement accidentel.
La bibliothèque DLL était dotée d’une fonction de porte dérobée, plus exactement d’un outil d’administration à distance complet, qui permettait aux individus malintentionnés de gérer l’ordinateur infecté à l’insu de l’utilisateur.
Dès le début de l’enquête, nous avions trouvé dans notre collection tout un groupe de portes dérobées similaires (32 et 64 bits) détectées sous des verdicts différents. Nous les avons regroupées dans une famille distincte. Ce programme malveillant semble avoir été nommé pour la première fois par la société Symantec sous le nom Winnti. Nous avons décidé d’y faire référence dans le nom de la famille : Backdoor.Win32(Win64).Winnti. Quant au groupe à l’origine des attaques impliquant cet outil d’administration à distance, nous l’avons baptisé « theWinntigroup ».
Il est intéressant de constater que la signature numérique appartenait à un autre éditeur de jeux vidéo, une société privée appelée KOG et établie en Corée. Cet éditeur se consacrait principalement aux jeux MMRPG, tout comme la première victime.
Nous avons contacté KOG, dont le certificat avait été utilisé pour signer un programme malveillant et nous avons alerté Verisign qui avait émis le certificat pour Kog. Ce certificat a été révoqué.
Certificats numériques
Lorsque nous avons découvert le premier certificat numérique volé, nous n’avons pas tout de suite compris que le vol de certificats et la signature des programmes malveillants pour les attaques à venir contre d’autres victimes étaient la méthode préférée de ce groupe. En dix-huit mois, nous avons détecté plus d’une douzaine de certificats numériques compromis de la sorte.
De plus, nous avons vu que ces certificats numériques semblaient avoir été utilisés dans des attaques organisées par d’autres groupes de pirates d’origine chinoise également.
Ainsi, lors d’une attaque contre les réseaux sociaux coréens Cyworld et Nate en 2011 ( http://www.bbc.co.uk/news/technology-14323787), les auteurs de l’attaque ont utilisé un cheval de Troie qui avait été signé à l’aide d’un certificat de l’éditeur de jeux en ligne YNK Japan Inc.
Un certificat numérique de la même société a été utilisé récemment (mars 2013) dans des chevaux de Troie visant des activistes tibétains et ouïghours (https://www.securelist.com/en/blog/208194165/New_Uyghur_and_Tibetan_Themed_Attacks_Using_PDF_Exploits). En fait, l’origine de cette histoire remonte bien avant 2011. Nous recommandons vivement la lecture du billet de Norma sur un incident semblable : http://blogs.norman.com/2011/security-research/invisible-ynk-a-code-signing-conundrum.
A la même époque (mars 2013) des activistes ouïghours étaient la cible d’un autre programme malveillant posédant la signature numérique d’un autre éditeur de jeux appelé MGAME Corp d’après https://www.f-secure.com/weblog/archives/00002524.html.
Nous pensons que le même groupe pourrait se cacher derrière tous ces vols, à savoir Winnti. Soit ce groupe entretient une relation très étroite avec d’autres groupes de pirates chinois, soit il vend les certificats sur le marché noir en Chine.
Voici la liste des sociétés qui ont été touchées et dont les certificats numériques ont été utilisés par le groupe Winnti dans différentes campagnes :
| Société | Numéro de série | Pays |
|---|---|---|
| ESTsoft Corp | 30 d3 fe 26 59 1d 8e ac 8c 30 66 7a c4 99 9b d7 | Corée du Sud |
| Kog Co., Ltd. | 66 e3 f0 b4 45 9f 15 ac 7f 2a 2b 44 99 0d d7 09 | Corée du Sud |
| LivePlex Corp | 1c aa 0d 0d ad f3 2a 24 04 a7 51 95 ae 47 82 0a | Corée du Sud / Philippines |
| MGAME Corp | 4e eb 08 05 55 f1 ab f7 09 bb a9 ca e3 2f 13 cd | Corée du Sud |
| Rosso Index KK | 01 00 00 00 00 01 29 7d ba 69 dd | Japon |
| Sesisoft | 61 3e 2f a1 4e 32 3c 69 ee 3e 72 0c 27 af e4 ce | Corée du Sud |
| Wemade | 61 00 39 d6 34 9e e5 31 e4 ca a3 a6 5d 10 0c 7d | Japon/ Corée du Sud /US |
| YNK Japan | 67 24 34 0d db c7 25 2f 7f b7 14 b8 12 a5 c0 4d | Japon |
| Guangzhou YuanLuo | 0b 72 79 06 8b eb 15 ff e8 06 0d 2c 56 15 3c 35 | Chine |
| Fantasy Technology Corp | 75 82 f3 34 85 aa 26 4d e0 3b 2b df 74 e0 bf 32 | Chine |
| Neowiz | 5c 2f 97 a3 1a bc 32 b0 8c ac 01 00 59 8f 32 f6 | Corée du Sud |
Victimes de l’attaque
On pourrait croire que les victimes potentielles des attaques ciblées ou des menaces persistantes avancées (APT) sont principalement des institutions gouvernementales, des ministères, des sociétés du secteur de la défense, des usines chimiques, des réseaux des forces armées, des partis politiques, des réseaux des infrastructures critiques, etc. Et dans le cas où la cible est une société privée, celle-ci doit être du niveau de Google ou d’Adobe. Cette perception s’explique par le fait que ce sont les attaques menées contre des institutions gouvernementales qui reçoivent la plus grande couverture médiatique. Mais dans la réalité, n’importe quelle société qui possède des données qui pourraient être rentabilisées pourrait devenir la victime d’une attaque APT. C’est bien de cela qu’il s’agissait ici : les attaques APT étaient menées non pas contre des institutions gouvernementales, politiques, militaires ou industrielles, mais bien contre des sociétés de jeux vidéo.
Il est difficile de nommer toutes les victimes du groupe Winnti. Mais sur la base des informations dont nous disposons (balises dans les programmes malveillants, noms de domaines des centres de contrôle, sociétés dont les certificats ont été volés pour signer les programmes malveillants, pays d’origine des notifications de la détection de programmes malveillants du groupe Winnti), nous pouvons affirmer qu’au moins 35 sociétés sont touchées ou ont été touchées à un moment ou à un autre par ce groupe d’individus malintentionnés.
| Asie | Europe | Amérique latine | Amérique du Nord |
|---|---|---|---|
| Chine | Allemagne | Brésil | USA |
| Corée du Sud | Belarus | Pérou | |
| Vietnam | Belarus | ||
| Inde | Russie | ||
| Indonésie | |||
| Japon | |||
| Philippines | |||
| Taïwan | |||
| Thaïlande |
Ces données démontrent que le groupe Winnti vise des sociétés de jeux vidéo du monde entier, même s’il existe un attrait évident pour l’Est asiatique.
Intérêt mercantile
Comme nous l’avons déjà dit, n’importe quelle société peut être la cible d’une attaque APT si les individus malintentionnés ont trouvé un moyen de retirer un revenu de cette attaque.
Comment les individus malintentionnés qui attaquent des sociétés de jeux vidéo peuvent-ils gagner de l’argent ?
Sur la base des données en notre possession, nous avons identifié 3 méthodes principales utilisées par le groupe Winnti pour rentabiliser les informations obtenues.
- Accumulation malhonnête de devises/de pièces d’or des jeux et transformation de ces ressources virtuelles en argent réel.
- Vol des codes sources des parties serveur des jeux en ligne afin d’y rechercher des vulnérabilités. Pour la suite, cf. point 1.
- Vol des codes sources des parties serveur des jeux en ligne populaires pour y déployer des serveurs pirates.
Voici un exemple. Lors de notre analyse d’une attaque contre une de ces sociétés, nous avons remarqué que le programme malveillant avait été créé pour un service particulier exécuté sur le serveur de cette société. Il recherchait sur le serveur un processus actif défini, s’introduisait dans son code, recherchait dans le code à l’aide de caractères génériques deux emplacements définis et y plaçait les appels de ses fonctions d’interception. Dans les fonctions d’interception, le programme malveillant modifiait les données du processus traitées à ces deux emplacements et rendait le contrôle. Les individus malintentionnés influençaient le processus serveur en modifiant le déroulement normal de son exécution. Malheureusement, la société n’a pas été en mesure de partager avec nous l’application cible et nous ne pouvons pas par conséquent expliquer l’impact du programme malveillant sur les processus dans le jeu par exemple. La victime nous a indiqué que le but des individus malintentionnés était tout simplement d’obtenir de manière illicite des « pièces d’or » du jeu.
L’intervention des individus malintentionnés a bien entendu un impact négatif sur le jeu en lui-même car elle fait pencher la balance du côté des tricheurs. Il ne faut toutefois pas s’attendre à ce que les modifications introduites dans les jeux par le groupe Winnti soient remarquées par tout le monde. Un équilibre réaliste est l’attribut principal de n’importe quel jeu en ligne. Les joueurs peuvent tout simplement arrêter de jouer s’ils se rendent compte que certaines personnes franchissent les étapes bien plus facilement qu’eux ou si des ressources ou des artefacts non recensés par les développeurs font leur apparition et enlèvent la tension du jeu. Et les individus à l’origine de l’attaque ont tout intérêt à ce que le jeu conserve sa popularité, sans quoi ils ne pourront pas facilement rentabiliser leurs efforts pour infecter une société ou une autre.
Les membres du groupe Winnti sont patients et prudents. Les individus malintentionnés influent pendant des années le déroulement des jeux des sociétés victimes. Ils obtiennent de l’argent de l’opération, mais ils agissent de façon à ne pas attirer l’attention.
Source de l’attaque
Qui se cache derrière le groupe Winnti ? L’analyse des fichiers malveillants que nous avons découverts pendant notre étude nous a permis d’identifier certains détails qui peuvent nous en apprendre un peu plus sur la source des attaques.
Dans le cadre d’une des étapes de l’enquête, nous avons surveillé les actions des individus malintentionnés sur l’ordinateur infecté. Ils avaient chargé dans le dossier Config.Msi de l’ordinateur infecté le programme auxiliaire ff.exe qui recherchait les documents HTML, MS Excel, MS Word, Adobe, PowerPoint, MS Works et les fichiers .txt sur le disque dur.
Le programme ff._exe_ contenait des lignes de débogage qui fournissaient des indices sur la nationalité probable des individus malintentionnés. Ces indices ne sautaient pas aux yeux car ils apparaissaient de la manière suivante dans l’éditeur :
L’analyse détaillée permit de définir qu’il s’agissait d’un texte écrit dans le code « Chinois simplifié GBK » et voici à quoi ressemblent ces lignes en chinois :
Voici la traduction automatique de ce texte :
Type de système de fichiers non reconnu
Impossible d’ouvrir le volume
Impossible d’obtenir le type de système de fichiers
Volume lu n’a pas réussi
Echec des volumes ouverts ou non ouverts
Passez à la racine de l’erreur
Mémoire lire indice d’erreur
Mémoire trop petite
Le fichier n’existe pas
Le secteur n’a pas obtenu le fichier d’index MFT
Chemin d’accès au fichiers des données non
Le volume n’est pas le même et ouvert
Volume ouvert avec même volume
De plus, les cybercriminels utilisaient également le programme AheadLib pour
créer des bibliothèques malveillantes (cf. la 2e partie de l’article pour les détails). Il s’agit d’un programme dont l’interface est en chinois.
Du texte en chinois a également été détecté dans un des modules utilisé par l’application malveillante (plug-in CmdPlus.dll) :
Traduction : Le processus est terminé!!
Tout semble indiquer que les auteurs de ces attaques maîtrisent au moins le chinois. Mais il y a un « mais » : à cause des failles de sécurité dans la réalisation du plug-in de transfert des fichiers, une commande indiquant un chemin d’accès local aux auteurs de l’attaque (provenance ou stockage du fichier) est reçue pendant le chargement/téléchargement des fichiers sur l’ordinateur infecté. Pendant l’observation du comportement des individus malintentionnés sur l’ordinateur infecté, nous avons observé qu’ils téléchargeaient le certificat depuis le système infecté et un chemin d’accès local indiquant l’emplacement de ce fichier sur leur ordinateur apparaissait :
Il s’agit de caractères coréens qui signifient « Bureau ». Autrement dit, les auteurs de l’attaque travaillaient sur une version coréenne du système d’exploitation.Ceci indique que l’attaque n’est pas uniquement organisée par des individus qui parlent chinois.
Conclusion
Notre enquête a mis en évidence une campagne de cyberespionnage d’envergure et de longue durée organisée par un groupe criminel d’origine chinoise. Ces attaques ne sont pas neuves et d’autres chercheurs ont publié des informations sur différents groupes cybercriminels chinois. Toutefois, le groupe dont il est question ici possède des caractéristiques qui permettent de le distinguer de tous les autres.
– Utilisation poussée de certificats numériques ; les auteurs des attaques ont utilisé les certificats de sociétés victimes pour attaquer de nouvelles organisations et voler encore plus de certificats numériques ;
– Utilisation d’un pilote 64 bits d’outil de dissimulation d’activité possédant une signature numérique valide ;
– Utilisation d’un nombre important de services Internet publics pour héberger les instructions chiffrées d’administration des systèmes infectés.
– Transfert/vente des certificats volés à d’autres groupes de pirates chinois poursuivant d’autres objectifs (par exemple, attaques contre des activistes ouïghours ou tibétains).
– Vol des codes source et autres types de propriété intellectuelle des éditeurs de jeux vidéo en ligne.
Le programme malveillant que nous avons baptisé « Winnti » a beaucoup évolué depuis son apparition, mais nous classons toutes les versions selon deux générations principales : 1.x et 2..x.
La description technique de la première génération de Winnti fera l’objet d’un article distinct.
La deuxième génération (2.x) a été utilisée dans une des attaques que nous avons étudiées pendant sa période active. Nous avons réussi à empêcher le transfert de données au serveur des individus malintentionnés et à isoler les systèmes infectés dans le réseau local de la société. Cet incident ainsi que les résultats de notre enquête sont repris dans le rapport complet sur le groupe Winnti (PDF).
De plus, nous avons détecté l’utilisation par le groupe Winnti d’une porte dérobée populaire (PlugX) qui trouve également ses origines en Chine. Toutefois, cette porte dérobée avait été utilisée uniquement dans le cadre d’attaques contre des activistes tibétains.