*Kaspersky Lab deckt Cyberspionage-Kampagne auf, die weltweit auf Online-Spielepublisher abzielt*

/Die cyberkriminelle Organisation “Winnti” manipuliert die Systeme von Online-Spieleherstellern und stiehlt geistiges Eigentum sowie digitale Zertifikate /

*/ /*

*Moskau/Ingolstadt, 11. April 2013 – Ein Expertenteam von Kaspersky Lab hat heute einen ausführlichen Bericht veröffentlicht, der die aktive Cyberspionage-Kampagne der cyberkriminellen Organisation namens „Winnti“ analysiert [1]. *

**

Laut den Erkenntnissen von Kaspersky Lab greifen die Cyberkriminellen der Winnti-Gruppe seit 2009 Unternehmen in der Online-Spieleindustrie an. Die Gruppe stiehlt signierte digitale Zertifikate sowie geistiges Eigentum, etwa auch die Quellcodes von Online-Spieleprojekten.

*Trojaner per Spiel-Update*

Der erste Vorfall, der die Aufmerksamkeit auf die böswilligen Aktivitäten der Winnti-Gruppe lenkte, ereignete sich im Herbst 2011, als ein Trojaner auf einer Vielzahl von Heimcomputern auf der ganzen Welt entdeckt wurde. Die Gemeinsamkeit zwischen den infizierten Computern war, dass sie für ein beliebtes Online-Spiel benutzt wurden. Kurz nach dem Zwischenfall wurden Details bekannt, wonach das schadhafte Programm über ein reguläres Update vom offiziellen Server des Spiele-Publishers auf die Computer der Spielefans gelangte. Zunächst wurde der Publisher selbst verdächtigt, seine Kunden auszuspionieren. Später wurde jedoch klar, dass Cyberkriminelle das Schadprogramm eingeschleust und es eigentlich auf das Spieleunternehmen selbst abgesehen hatten.

*Experten von Kaspersky Lab um Hilfe gebeten*

Daraufhin bat das betroffene Unternehmen Kaspersky Lab, das Schadprogramm zu analysieren. Es stellte sich heraus, dass der Trojaner sich als eine für die Windows 64-Bit-Architektur konzipierte Programmbibliothek (DLL-Datei) tarnte und den Angreifern ein voll funktionsfähiges Remote Administration Tool (RAT) zur Verfügung stellte. Damit war die Kontrolle des Computers ohne Wissen des Besitzers möglich. Neu an dem Trojaner war die Tatsache, dass es das erste bösartige Programm auf einer 64-Bit-Windows Plattform mit gültiger digitaler Signatur ist. Die Experten von Kaspersky Lab fanden zudem heraus, dass mehr als 30 Unternehmen in der Spieleindustrie durch die Winnti-Gruppe infiziert wurden. Die Mehrheit der Online-Spieleentwickler ist in Südostasien angesiedelt. Doch auch Online-Spielepublisher mit Sitz in Deutschland, den Vereinigten Staaten, Japan, China, Russland, Brasilien, Peru und Weißrussland sind betroffen.

**

*Cyberkriminelle stehlen Quellcode*

Neben Industriespionage hat Kaspersky Lab drei Szenarien identifiziert, die die Winnti-Gruppe nutzen könnte, um illegalen Profit zu erzielen:

·Manipulation von Spiel-Währungen, wie zum Beispiel “Runen” oder “Gold”, die von Spielern dazu verwendet werden, virtuelles Geld in echtes Geld zu tauschen

·Verwendung von gestohlen Quellcodes von Online-Spiele-Servern, um nach Schwachstellen innerhalb der Spiele zu suchen sowie die Manipulation der Spiel-Währung zu beschleunigen und sie unbemerkt anzusammeln

·Verwendung von gestohlenen Quellcodes von Servern beliebter Online-Spiele, um eigene, illegale Server einzurichten.

Derzeit ist die Winnti-Gruppe immer noch aktiv und die Untersuchungen von Kaspersky Lab sind im Gange. Das Expertenteam des Unternehmens arbeitet unablässig mit der IT-Security-Community, derOnline-Gaming Industrie und den Zertifizierungsstellen (CA) zusammen, um weitere infizierte Serverauszumachen. Währenddessen unterstützt Kaspersky Lab betroffene Unternehmen beim Widerruf der gestohlenen Zertifikate.

Die vollständige technische Analyse von Kaspersky Lab über die Winnti-Gruppe findet sich auf Securelist http://www.securelist.com/en/analysis/204792287/Winnti_More_than_just_a_game [1].

Produkte von Kaspersky Lab entdecken und entfernen die schadhaften Programme und deren Varianten, die von der Winnti-Gruppe verwendet werden. Sie haben die folgenden Bezeichnungen: Backdoor.Win32.Winnti, Backdoor.Win64.Winnti, Rootkit.Win32.Winnti und Rootkit.Win64.Winnti.

**

[1] http://www.securelist.com/en/analysis/204792287/Winnti_More_than_just_a_game

Für Journalisten und Redakteure hat Kaspersky Lab einen Newsroom eingerichtet. Unter http://newsroom.kaspersky.eu http://newsroom.kaspersky.eu/ finden Sie alle aktuellen Unternehmens- und Hintergrundinformationen inklusive Audio-, Video- und Bilddateien.

*Über Kaspersky Lab*

Kaspersky Lab ist der weltweit größte, privat geführte Anbieter von Endpoint-Sicherheitslösungen. Das Unternehmen zählt zu den vier erfolgreichsten Herstellern von Sicherheitslösungen für Endpoint-Nutzer.* In seiner 15-jährigen Unternehmensgeschichte hat Kaspersky Lab zahlreiche Innovationen im Bereich IT-Sicherheit auf den Weg gebracht und bietet effektive digitale Sicherheitslösungen für Großunternehmen, KMU und Heimanwender. Kaspersky Lab, mit Holding in Großbritannien, ist derzeit in rund 200 Ländern auf der ganzen Welt vertreten und schützt über 300 Millionen Nutzer weltweit.

Weitere Informationen zu Kaspersky Lab finden Sie unter www.kaspersky.de http://www.kaspersky.de. Kurzinformationen erhalten Sie zudem über www.twitter.com/Kaspersky_DACH http://www.twitter.com/Kaspersky_DACH. Aktuelles zu Viren, Spyware, Spam sowie Informationen zu weiteren IT-Sicherheitsproblemen und -Trends sind unter _www.viruslist.de_ abrufbar.

*/Quelle: IDC-Report “Worldwide Endpoint Security 2012-2016 Forecast and 2011 Vendor Shares”, July 2012./

*Redaktionskontakt:* essential media GmbHKaspersky Labs GmbH

Florian SchafrothStefan Rojacher

florian.schafroth@essentialmedia.de mailto:florian.schafroth@essentialmedia.destefan.rojacher@kaspersky.com mailto:stefan.rojacher@kaspersky.com

Tel.: +49-89-7472-62-43Tel.: +49-841-98-189-325

Fax: +49-89-7472-62-17Fax: +49-841-98-189-100

Landwehrstraße 61Despag-Straße 3

80336 München85055 Ingolstadt