ICT Media
Sosyal hayatımıza heyecan verici dokunuşlarda bulunabilen global oyun endüstrisi, ne yazık ki çeşitli hacker gruplarının da olağan hedefi konumunda. Siber güvenlik kuruluşu ESET, çok oyunculu çevrimiçi oyunlar geliştiren şirketlere odaklanan yeni bir truva atı keşfetti. Oyunlarda arka kapı açan bu truva atı, Winnti Group adlı hacker grubuna oyun içi para birimlerini kendi finansal kazançları için manipüle etme imkanı tanıyor.
ESET araştırmacıları, Winnti Group tarafından kullanılan ve MMO (kitlesel çok oyunculu çevrimiçi) oyunlar geliştiren birkaç video oyunu şirketini hedefleyen yeni bir modüler arka kapı keşfetti. ESET tarafından ‘PipeMon’ olarak adlandırılan bu zararlı yazılım, Güney Kore ve Tayvan'daki şirketleri hedef alıyor. Bu şirketler tarafından geliştirilen video oyunları tüm dünyaya dağıtılıyor ve popüler oyun platformlarında binlerce eşzamanlı oyuncuya sahip.
ESET Araştırmacıları Mathieu Tartare ve Martin Smolár’e göre saldırganlar en az bir kere ilgili şirketlerin yapı düzenleme sunucusunun güvenliğini aşarak otomatik yapım sistemlerinin kontrolünü ele aldı. Bu, saldırganların video oyununun yürütülebilir dosyalarına truva atı yerleştirmelerini sağlamış olabilir. Başka bir durumda da, saldırganlar şirketin oyun sunucularını tehlikeye attı. Bu saldırı sonucunda ise oyun içi para birimlerini finansal kazanç için manipüle etmek mümkün. ESET, etkilenen şirketlerle temasa geçti ve sorunu düzeltmek için gerekli bilgi ve yardımı sağladı.
Arkasında grup
“Birden çok delil, bu saldırının Winnti Grubu tarafından gerçekleştirildiğini anlamamıza yol açtı” diyen araştırmacı Mathieu Tartare, sözlerini şöyle sürdürdü: “PipeMon tarafından kullanılan komuta ve kontrol sunucu alan adlarından bazıları, önceki kampanyalarda Winnti tarafından kullanılmıştı. Ayrıca, PipeMon ile tehlikeye atıldığı keşfedilen aynı şirketlerden bazılarında 2019 yılından başka Winnti zararlı yazılımları bulundu.”
Yeni modüler arka kapı PipeMon’un, önceki bir saldırıda Nfinitiy Games’den çalındığı anlaşılan bir kod imzalama sertifikasıyla imzalanmış PortReuse arka kapısıyla benzerlikleri bulunuyor. Tartare, “Bu yeni gelişme, saldırganların birden fazla açık kaynaklı proje kullanarak aktif olarak yeni araçlar geliştirdiğini ve yalnızca ShadowPad ve Winnti zararlılarına güvenmediğini gösteriyor. ESET, PipeMon'un iki farklı varyantını izledi.
En az 2012 yılından beri aktif olan Winnti Grubu, video oyunu ve yazılım endüstrilerine karşı yüksek profilli tedarik zinciri saldırılarından sorumlu. Truva atı bulaştırılmış pek çok popüler yazılımı dağıttığı tespit edilen Winnti Grubu, ayrıca yakın zamanda ‘ShadowPad’ ve ‘Winnti’ kötü amaçlı yazılımlarıyla bazı Hong Kong Üniversitelerini de hedef almıştı.
