資安研究顯示台韓遊戲開發商遭入侵 疑似中國駭客組織所為
史上最活躍的駭客團體之一,Winnti最近大舉入侵了大量多人線上遊戲的開發商,這次行動讓攻擊者可以透過讓目標使用者安裝惡意軟體,藉此偷取第二方受害玩家的遊戲內貨幣。
來自斯洛伐克資安公司ESET的研究員將這一系列的攻擊的矛頭指向了中國駭客組織Winnti,這是一個從2009年開始活躍至今的大型駭客組織,ESET認為這個組織至少已經發動了上百起高階的駭客攻擊,而對象則包含了中國民權記者、維族和西藏活動者、泰國政府、以及許多知名科技公司。Winnti也與2010年Google以及34家公司旗下重要資訊遭竊等事件有著密切關連。就在最近,這個組織也參與了讓CCleaner平台將惡意更新發送給上百萬用戶的攻擊行動。此外Winnti 也策劃了另一起針對供應商的攻擊,在50萬台Asus電腦中安裝了後門程式。
就在最近的攻擊行動中,他們採用了一種前所未見的後門程式,而ESET將其稱為「PipeMon」。為了要繞過資安防護,PipeMon安裝程式內建了Windows官方的簽署認證,也就是在2018年的攻擊事件中從遊戲開發商Nfinity Games手中所偷取的。這個後門程式「PipeMon」的命名原因,是因為這個程式使用了大量的管道 (Pipe) 來彼此溝通,同時也是開發者在開發工具Microsoft Visual Studio上所使用的名稱。該程式使用了微軟列印程式的處理器,所以在電腦重啟後也能夠倖存下來。而Nfinity Games目前也尚未對此做出回應。
就在上週四早晨所發布的一則貼文中,ESET並沒有詳細列出受到影響的公司,只表示其中包含了一些來自南韓以及台灣的多人線上遊戲開發商,而這些遊戲則能夠在多個熱門遊戲平台上取得,並有著上千位同時上線的活躍玩家。
貼文表示至少在其中一起案例中,這個惡意程式入侵了受害者的建構系統中,並導致了一系列的連鎖攻擊,讓攻擊者能夠在遊戲的執行文件中植入木馬程式。在另一起案例中,遊戲的伺服器遭到了入侵,讓攻擊者能夠操作遊戲內的貨幣機制藉此達到獲利。
然而,研究者也指出他們並沒有證據能夠證明這些攻擊確實已經造成了上述的結果。
有能力可以如此深入地入侵至少兩個受害目標,都證明了Winnti成員們有著不可忽視的實力,而能夠利用他們在2018年從Nfinity Games手中竊取的認證來對其他遊戲公司進行攻擊,又是他們的另一個事蹟了。就已Winnti選擇攻擊的人物與組織來看,研究者也將這一切與中國政府進行了連結。而一般來說,駭客組織在針對部分網路伺服器和軟體或遊戲開發商發動攻擊之後,都會利用偷取來的資料更有效率地對他們的終極目標發動總攻擊。
Windows在軟體驅動程式能夠進入核心之前,都會要求官方的「簽章憑證」,而這也是絕大多數作業系統中最關鍵的安全措施。如果要取得這些「憑證」,都必須先要經過Windows所信任的有關單位認證為合法軟體供應商。然而,這些授權也能夠繞過防毒程式以及其他的高端保護措施。因此,「憑證」本身也常常成為一種脆弱的漏洞。
目前仍然無法確定攻擊者們是否真的利用這些憑證來影響遊戲架構或伺服器,但這也代表用戶們幾乎無法察覺自己是否有受到影響。由於Winnti過去的事蹟罄竹難書,依然是個無法排除的可能性。
參考原文:Arstechnica