科技猎solidot | 卡巴斯基发现专门针对网游公司的中国黑客组织
卡巴斯基实验室公布了对中国(疑似)黑客组织winnti的详细分析报告(pdf),发现该组织与最近发生的许多攻击事件存在千丝万缕的联系。
winnti组织专门针对游戏公司托管的服务器,窃取源代码创建私服,同时盗窃钱财或虚拟货币。它攻击了超过30家网络游戏公司(如图,点击放大),受害者包括了2家北美公司,14家韩国公司,2家德国公司,2家俄罗斯公司。winnti的网络间谍活动至少持续了四年,它引起关注是在2011年,一种木马在网游玩家之间传播,这种木马是通过官方游戏服务器的定期更新下载到玩家电脑上的,有人怀疑是游戏公司试图监视玩家。但随后的调查发现,网游公司才是攻击目标。卡巴斯基分析了游戏更新服务器上找到的恶意程序,发现该恶意程序是一个为64位windows环境编译的dll库,使用了一个正确签名的驱动,包含了rat(远程管理工具)。赛门铁克将该木马命名为winnti,卡巴斯基延用了这一名字。
木马使用的数字证书属于韩国网络游戏公司kog,由verisign发行,现已撤销。该证书只是winnti组织使用的一系列游戏公司数字证书之一。卡巴斯基注意到一种巧合:2011年攻击韩国社交网站cyworld和nate的木马使用的数字证书来自日本游戏公司 ynk japan ;上个月攻击西藏和维吾尔活动人士的木马使用的证书同样来自ynk japan;另一起攻击维吾尔活动人士的木马使用的证书来自游戏公司mgame corp...卡巴斯基认为,所有被窃取的游戏公司数字证书都源于winnti组织,该组织要么与其它中国黑客组织关系密切,要么通过地下黑市供应了数字证书。
winnti组织专门针对游戏公司托管的服务器,窃取源代码创建私服,同时盗窃钱财或虚拟货币。它攻击了超过30家网络游戏公司(如图,点击放大),受害者包括了2家北美公司,14家韩国公司,2家德国公司,2家俄罗斯公司。winnti的网络间谍活动至少持续了四年,它引起关注是在2011年,一种木马在网游玩家之间传播,这种木马是通过官方游戏服务器的定期更新下载到玩家电脑上的,有人怀疑是游戏公司试图监视玩家。但随后的调查发现,网游公司才是攻击目标。卡巴斯基分析了游戏更新服务器上找到的恶意程序,发现该恶意程序是一个为64位windows环境编译的dll库,使用了一个正确签名的驱动,包含了rat(远程管理工具)。赛门铁克将该木马命名为winnti,卡巴斯基延用了这一名字。
木马使用的数字证书属于韩国网络游戏公司kog,由verisign发行,现已撤销。该证书只是winnti组织使用的一系列游戏公司数字证书之一。卡巴斯基注意到一种巧合:2011年攻击韩国社交网站cyworld和nate的木马使用的数字证书来自日本游戏公司 ynk japan ;上个月攻击西藏和维吾尔活动人士的木马使用的证书同样来自ynk japan;另一起攻击维吾尔活动人士的木马使用的证书来自游戏公司mgame corp...卡巴斯基认为,所有被窃取的游戏公司数字证书都源于winnti组织,该组织要么与其它中国黑客组织关系密切,要么通过地下黑市供应了数字证书。
卡巴斯基分析的显示,恶意程序依赖于一位杀毒软件公司中国研究员开发的木马分析工具aheadlib(如图),恶意程序作者发现aheadlib可以方便的创建恶意程序代理库(malicious proxy-libraries)。当受害者感染木马之后,它会下载程序ff._exe到config.msi文件夹内,搜索html、ms excel、ms word、adobe、powerpoint和ms works文档,以及txt文本文件。研究人员在其编码中发现了中文字符(如图)。
研究人员通过各种线索对攻击者身份展开了搜索,发现了一些可能是团队成员的网站和博客,如:http://zhikou.yo2.cn/,http://www.exploit,db.com/exploits/11053/,http://zzsky.5d6d.net/archiver/tid-127.html,http://forum.cnsec.org/thread-50222-1-1.html,http://zzsky.5d6d.net/archiver/tid-127.html....代码中的一个字符ydteam似乎指向了黑客网站 ydteam.cn,whois搜索发现注册人叫魏楠,注册商是北京新网数码信息技术公司,魏楠的邮箱是wn6805@126.com,qq号97676416,出生日期1992年12月21日...感兴趣的人可阅读pdf。