新闻中心

当前位置 > 新闻中心> IT业界 > 业内动向 > 卡巴斯基曝光专门针对网游的中国黑客组织
卡巴斯基曝光专门针对网游的中国黑客组织
2013-04-13 11:21:47   编辑:萧萧   点击可以复制本篇文章的标题和链接
 
让小伙伴们也看看:
收藏文章

Solidot报道,卡巴斯基实验室公布了对疑似中国黑客组织Winnti的详细分析报告(PDF),发现该组织与最近发生的许多攻击事件存在千丝万缕的联系。

Winnti组织专门针对游戏公司托管的服务器,窃取源代码创建私服,同时盗窃钱财或虚拟货币。它攻击了超过30家网络游戏公司(如图,受害者包括了2家北美公司,14家韩国公司,2家德国公司,2家俄罗斯公司。

卡巴斯基曝光专门针对网游的中国黑客组织

Winnti的网络间谍活动至少持续了四年,它引起关注是在2011年,一种木马在网游玩家之间传播,这种木马是通过官方游戏服务器的定期更新下载到玩家电脑上的,有人怀疑是游戏公司试图监视玩家。但随后的调查发现,网游公司才是攻击目标。卡巴斯基分析了游戏更新服务器上找到的恶意程序,发现该恶意程序是一个为64位Windows环境编译的DLL库,使用了一个正确签名的驱动,包含了RAT(远程管理工具)。赛门铁克将该木马命名为Winnti,卡巴斯基延用了这一名字。

木马使用的数字证书属于韩国网络游戏公司KOG,由Verisign发行,现已撤销。该证书只是Winnti组织使用的一系列游戏公司数字证书之一。卡巴斯基注意到一种巧合:2011年攻击韩国社交网站Cyworld和Nate的木马使用的数字证书来自日本游戏公司 YNK Japan ;上个月攻击西藏和维吾尔活动人士的木马使用的证书同样来自YNK Japan;另一起攻击维吾尔活动人士的木马使用的证书来自游戏公司MGAME Corp...卡巴斯基认为,所有被窃取的游戏公司数字证书都源于Winnti组织,该组织要么与其它中国黑客组织关系密切,要么通过地下黑市供应了数字证书。 

卡巴斯基曝光专门针对网游的中国黑客组织

卡巴斯基分析的显示,恶意程序依赖于一位杀毒软件公司中国研究员开发的木马分析工具AheadLib,恶意程序作者发现AheadLib可以方便的创建恶意程序代理库(malicious proxy-libraries)。当受害者感染木马之后,它会下载程序ff._exe到Config.Msi文件夹内,搜索HTML、MS Excel、MS Word、Adobe、PowerPoint和MS Works文档,以及TXT文本文件。研究人员在其编码中发现了中文字符(如图):

 卡巴斯基曝光专门针对网游的中国黑客组织

研究人员通过各种线索对攻击者身份展开了搜索,发现了一些可能是团队成员的网站和博客,如:http://zhikou.yo2.cn/,http://www.exploit,db.com/exploits/11053/,http://zzsky.5d6d.net/archiver/tid-127.html,http://forum.cnsec.org/thread-50222-1-1.html,http://zzsky.5d6d.net/archiver/tid-127.html....代码中的一个字符ydteam似乎指向了黑客网站 ydteam.cn,WHOIS搜索发现注册人叫魏楠,注册商是北京新网数码信息技术公司,魏楠的邮箱是wn6805@126.com,QQ号97676416,出生日期1992年12月21日。

文章纠错

微信公众号搜索"驱动之家"加关注,每日最新的手机、电脑、汽车、智能硬件信息可以让你一手全掌握。推荐关注!【微信扫描下图可直接关注

阅读更多:黑客

好文共享:
收藏文章

文章观点支持

当前平均分:0(0 次打分)
热门评论
热门文章