Torna il gruppo hacker Winnti: questa volta compromessi titoli MMO con la backdoor PipeMon

Torna il gruppo hacker Winnti: questa volta compromessi titoli MMO con la backdoor PipeMon

La scoperta dei ricercatori ESET: l'attacco reso possibile grazie ad un certificato valido ma rubato nel 2018. Non vi sono dati sull'effettiva portata dell'attacco, ma le vittime potenziali sono migliaia di videogiocatori

di pubblicata il , alle 09:01 nel canale Sicurezza
ESET
 

Uno dei gruppi più attivi e sofisticati nel panorama dell'hacking ha compromesso alcuni giochi MMO - Massively Multiplayer Online - rendendo possibile la distribuzione di malware in maniera mirata allo scopo di sottrarre informazioni o di rubare valute in-game a scopo di profitto economico. Sono i ricercatori di sicurezza ESET a lanciare l'allarme, senza tuttavia rilasciare particolari dettagli sui giochi e gli sviluppatori interessati e limitandosi a dire che il problema tocca anche diverse realtà taiwanesi e sudcoreane di titoli MMO che hanno un ampio seguito di pubblico.

L'attacco si basa su una backdoor inedita, che ESET ha battezzato PipeMon. Per aggirare le contromisure difensive gli installer PipeMon sfruttano un certificato firmato in maniera legittima, ma rubato a Nfinity Games nel 2018. La backdoor riesce a farsi passare come processore di stampa di Windows, per poter resistere ai riavvii di sistema. Sfruttando PipeMon è possibile compromettere direttamente il sistema della vittima designata, orchestrando poi un attacco di tipo supply-chain allo scopo di compromettere gli eseguibili di gioco, oppure compromettere i server dei giochi per manipolare le valute in-game. Non è chiaro, tuttavia, quali di queste situazioni si sia effettivamente verificata e con che incidenza.

Si tratta però di eventualità da non sottovalutare, specie se si considera il "pedigree" dell'attore che si trova dietro a questo attacco. ESET attribuisce l'operazione a Winnti Group, un collettivo attivo sin dal 2009 e che nel corso degli anni si è distinto per svariate imprese. Oltre a prendere di mira attivisti Tibetani e Uiguri, giornalisti cinesi e il governo thailandese, il gruppo si è reso autore di un'operazione che nel 2010 ha sottratto informazioni sensibili a Google e ad altre 34 società, e più di recente dei casi di compromissione della piattaforma di distribuzione dell'utility CCleaner e dell'attacco supply-chain che ha permesso di manomettere il sistema ASUS Live Update e installare una backdoor su migliaia di PC Asus.

Nonostante il tutto tragga origine da un certificato sottratto nel 2018, il proprietario non lo ha revocato fino a quando ESET non ha notificato l'abuso. Windows richiede la firma di certificati prima che i driver software possano accedere al kernel del sistema operativo. I certificati, il cui rilascio avviene ad opera di entità riconosciute e fidate e dopo che l'acquirente dimostra di essere un legittimo fornitore di software, possono aiutare a scavalcare l'antivirus e in generale altri sistemi di protezione dell'end-point. La conseguenza è che i certificati rappresentano un goloso bottino agli occhi degli hacker.

Non è infrequente assistere a ritardi nelle revoche dei certificati software, specie se a confronto con i certificati TLS usati per i siti web. Questi ultimi devono essere pubblicati apertamente, e quindi è più facile tracciare ed identificare furti. Per i certificati code-signing invece non vi è alcuna visibilità di quali siano i certificati attualmente in uso, dato che essi possono trovarsi in eseguibili presenti su innumerevoli host in tutto il mondo e non possono essere raccolti tramite scansioni ad ampio raggio della rete. Ciò rende difficoltoso scoprire quali siano o possano essere i certificati compromessi, e in particolare quelli che vengono sfruttati per attacchi mirati.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^