{"id":911,"date":"2013-04-11T09:45:21","date_gmt":"2013-04-11T09:45:21","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=911"},"modified":"2020-02-26T18:21:34","modified_gmt":"2020-02-26T16:21:34","slug":"ein-spiel-ohne-regeln","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/ein-spiel-ohne-regeln\/911\/","title":{"rendered":"Ein Spiel ohne Regeln"},"content":{"rendered":"

Die Kaspersky-Analysten untersuchen derzeit eine Reihe zielgerichteter Attacken auf Spielehersteller. Es zeigte sich, dass Cyberkriminelle In-Game-Geld stehlen, aber auch Quellcodes und digitale Zertifikate. In diesem Blogbeitrag sagen wir, was Online-Spieler (und Spielehersteller) dazu wissen sollten.<\/p>\n

\"game_attack_b2c_article_EN<\/a><\/p>\n

APT-Angriffe (Advanced Persistent Threat) zielen nicht nur auf Regierungsorganisationen oder milit\u00e4rische Geheimnisse ab; Cyberkriminelle k\u00f6nnen ihre Zeit, ihr Geld und ihr K\u00f6nnen auch zum Hacken normaler Unternehmen verwenden, wenn Sie davon pers\u00f6nlichen Gewinn erwarten. Das zeigt eindrucksvoll das Ergebnis einer jahrelangen Untersuchung<\/a> der Kaspersky-Experten, die eine kriminelle Gruppe entlarvte, die Hersteller von Computerspielen ausspioniert.<\/p>\n

Obwohl die Cyberkriminellen ausschlie\u00dflich Computer von Spielefirmen angriffen, wurden die ersten Infektionen auf Computern von Spielern gefunden. Durch einen Fehler der Hacker kam ein Trojaner auf einen Update-Server, und wurde von dort auf die Spielercomputer herunter geladen, wo ihn aufmerksame Anwender entdeckten. Der Trojaner zog sofort die Aufmerksamkeit von Virenanalysten auf sich, da es sich um ein vollausgestattetes Remote Administration Tool<\/a> (RAT) handelt, das den Hackern die komplette Kontrolle \u00fcber die Opfercomputer erm\u00f6glicht. Zudem enth\u00e4lt er einen Treiber, der mit einem authentischen und legitimen Zertifikat signiert ist, so dass er sich ohne Alarm oder Benachrichtigung installieren kann.<\/p>\n

Die Untersuchung, wie die Datei auf einen Update-Server kommen konnte, enth\u00fcllte ein komplettes Spionage-Netzwerk, das auch in jeden Hollywood-Actionfilm passen w\u00fcrde. Zun\u00e4chst wurden Phishing-Nachrichten genutzt, um die Computer bestimmter Mitarbeiter bei einem Spieleentwickler zu infizieren. Wurde ein Rechner erfolgreich infiziert, lud der Trojaner, der den Namen Winnti bekommen hat, mehrere Remote-Administrationsmodule von C&C-Servern herunter und schickte einen Bericht \u00fcber die Infizierung. Anschlie\u00dfend stellte einer der Cyberkriminellen eine manuelle Verbindung zu dem Computer her, bewertete die Situation und entschied, ob es etwas bringt, den Computer weiter zu beobachten. Wenn nicht, wurden alle Spuren der Spyware von dem Computer gel\u00f6scht. Wenn es sich aber lohnte, sammelten die Cyberkriminellen alles, was sie bekommen konnten. Oberste Priorit\u00e4t hatte der Diebstahl von Game-Quellcodes und Software-Entwickler-Zertifikaten. Wenn sie einmal Quellcodes bekommen hatten, konnten die Kriminellen nach Sicherheitsl\u00fccken auf Spieleservern suchen und Mechanismen entwickeln, um virtuellen Besitz zu generieren oder eigene gef\u00e4lschte Spieleserver einzurichten, f\u00fcr die sie den Zugang g\u00fcnstig verkauften. Die Zertifikate wurden genutzt, um neue Schadprogramme zu signieren, aber offensichtlich auch, um sie an andere Cyberkriminelle zu verkaufen, denn einige der gestohlenen Zertifikate tauchten sp\u00e4ter bei anderen kriminellen Machenschaften auf und wurden f\u00fcr politische Spionage genutzt.<\/p>\n

Da die Spieleindustrie sehr global agiert \u2013 mit gro\u00dfen Herstellern, die riesige Filialen-Netzwerke in aller Welt betreiben \u2013, die Hersteller oft eng bei der \u00dcbersetzung und Ver\u00f6ffentlichung zusammenarbeiten und sich gegenseitigen Zugang zu den Firmennetzwerken gew\u00e4hren, konnten die Cyberkriminellen ein einziges infiziertes Netzwerk nutzen, um auch bei anderen Firmen einen Fu\u00df in die T\u00fcr zu bekommen. Auch wenn es noch schwer ist, die Gr\u00f6\u00dfe des Vorfalls abzusch\u00e4tzen, ist bereits klar, dass Dutzende Firmen in Russland, Deutschland, den USA, China, S\u00fcdkorea und einigen anderen L\u00e4ndern angegriffen werden.<\/p>\n

Obwohl die kriminelle Gruppe auf Spielehersteller abzielt, werden auch normale Spieler die Konsequenzen der Attacke sp\u00fcren \u2013 aus verschiedenen Gr\u00fcnden. Zum ersten bringen virtuelles Geld und virtuelle G\u00fcter, die nicht vom Spielehersteller erzeugt wurden, ein Ungleichgewicht ins Spiel, in dem alle Parameter normalerweise sorgf\u00e4ltig berechnet werden, inklusive dem Geldvorrat. Zum zweiten werden Firmen, die von den Cyberkriminellen um die Fr\u00fcchte jahrelanger harter Arbeit betrogen werden, ihre Entwicklungskosten nicht decken k\u00f6nnen, wenn Spieler auf gef\u00e4lschte Server abwandern. Das k\u00f6nnte einen verheerenden Effekt auf den Support des Spiels an sich haben. Zum dritten k\u00f6nnen Cyberkriminelle kompromittierte Server nutzen, um Schadprogramme auf die Rechner aller Spieler zu verteilen. Wir haben keinen Beweis, dass die Winnti-Gruppe absichtlich auch Spieler \u00fcber die gehackten Firmen infiziert, k\u00f6nnen das aber auch nicht ausschlie\u00dfen \u2013 das k\u00f6nnte auch eine gut bezahlte Auftragsarbeit f\u00fcr Dritte sein.<\/p>\n

Um sich gerade vor dieser letzten Gefahr zu sch\u00fctzen, hier einige Vorsichtsma\u00dfnahmen:<\/p>\n