Les sites de jeu en ligne visés par une campagne de

COMMUNIQUE DE PRESSE
Les sites de jeu en ligne visés par une campagne de
cyberespionnage active
L’organisation cybercriminelle « Winnti » cible les serveurs de jeu à travers le
monde et dérobe de la propriété intellectuelle ainsi que des certificats
numériques à des fins malveillantes
Rueil-Malmaison, le 12 avril 2013 - L’équipe d’experts de Kaspersky Lab a publié un
rapport détaillé qui analyse une campagne de cyberespionnage menée par une
organisation cybercriminelle connue sous le nom de « Winnti ».
Selon le rapport de Kaspersky Lab, le groupe Winnti, encore actif aujourd’hui s’attaque
à des sites de jeu en ligne depuis 2009. Il a pour objectifs de dérober non seulement de
la propriété intellectuelle – notamment le code source des jeux en ligne – mais aussi
des certificats numériques signés par des éditeurs de logiciels légitimes.
Le premier incident qui a attiré l’attention sur les activités malveillantes du groupe
Winnti s’est produit à l’automne 2011, lorsqu’un cheval de Troie a été détecté sur les
ordinateurs d’un grand nombre d’utilisateurs à travers le monde. Le lien manifeste entre
toutes les machines infectées est que celles-ci ont été utilisées pour jouer en ligne.
Page 1
Peu de temps après, il est apparu que le programme malveillant à l’origine de l’infection
faisait partie d’une mise à jour régulière du serveur officiel du site de jeu. Les
utilisateurs contaminés et les joueurs en général ont soupçonné l’éditeur d’avoir installé
le malware afin d’espionner ses clients. Cependant, il s’est avéré par la suite que le
programme malveillant avait été installé sur les ordinateurs des joueurs par accident,
alors que les cybercriminels visaient en réalité le site de jeu lui-même. En réponse,
l’éditeur propriétaire des serveurs ayant propagé le cheval de Troie à ses utilisateurs a
demandé à Kaspersky Lab d’analyser le programme malveillant. Le cheval de Troie
s’est révélé être une bibliothèque DLL compilée pour un environnement Microsoft
Windows 64 bits, utilisant une signature appropriée. Il s’agissait d’un outil de type RAT
(Remote Administration Tool) aux fonctionnalités complètes, qui donne aux auteurs de
l’attaque la possibilité de prendre le contrôle de l’ordinateur d’une victime à son insu.
La découverte est de taille car ce cheval de Troie est le premier programme malveillant
opérant sur une version 64 bits de Windows avec une signature numérique valide.
Les experts de Kaspersky Lab ont entrepris d’analyser la campagne de Winnti et
découvert que plus de 30 sites de jeu en ligne avaient été infectés par celle-ci, la
majorité d’entre eux appartenant à des éditeurs de logiciels du sud-est asiatique.
Cependant, des entreprises du secteur situées dans d’autres pays (Allemagne, EtatsUnis, Japon, Chine, Russie, Brésil, Pérou, Biélorussie) ont également été identifiées
comme des victimes de Winnti.
En dehors de l’espionnage industriel, les experts de Kaspersky Lab ont identifié trois
principales techniques susceptibles d’être employées par le groupe Winnti pour en tirer
des profits illicites :

accumulation
et
manipulation
de
sommes
d’argent
virtuelles
utilisées
par les joueurs, pour une conversion en argent réel ;

exploitation du code source volé sur les serveurs de jeu en ligne pour la
recherche de vulnérabilités dans les jeux en vue d’accentuer la manipulation
d’argent virtuel et d’en accumuler sans éveiller les soupçons ;

exploitation du code source volé sur des serveurs très fréquentés pour la
création de sites pirates.
Page 2
Actuellement, le groupe Winnti est toujours actif et les investigations de Kaspersky Lab
se poursuivent. L’équipe d’experts de la société travaille avec la communauté de la
sécurité informatique, le secteur du jeu en ligne et les autorités de certification pour
identifier d’autres serveurs infectés.
Le rapport complet de Kaspersky Lab sur la campagne Winnti, y compris une analyse
technique
exhaustive,
est disponible
sur
le
site
Securelist
http://www.securelist.com/en/analysis/204792287/Winnti_More_than_just_a_game
Les produits de Kaspersky Lab détectent et neutralisent le programme malveillant
utilisé par le groupe Winnti, ainsi que ses variantes, sous les classifications
Backdoor.Win32.Winnti,
Backdoor.Win64.Winnti,
Rootkit.Win32.Winnti
et
Rootkit.Win64.Winnti.
À propos de Kaspersky Lab
Kaspersky Lab est l’un des plus grands fournisseurs mondial de solutions de sécurité informatique. La
société est classée parmi les 4 premiers fournisseurs de solutions de sécurité informatique pour les
particuliers*. Tout au long de ses 15 ans d’expérience, Kaspersky Lab a su rester un acteur innovant sur
le marché de la sécurité informatique et fournit aujourd’hui des solutions de sécurité efficaces pour les
particuliers, les PME et les grands comptes.
Kaspersky Lab opère actuellement dans près de 200 pays et territoires, offrant une protection à plus de
300 millions d'utilisateurs à travers le monde.
Pour en savoir plus www.kaspersky.com/fr et http://newsroom.kaspersky.eu
* La société a été classée quatrième dans le classement IDC Worldwide Endpoint Security Revenue by Vendor, 2011.
Ce classement a été publié dans le rapport d'IDC Worldwide IT Security Products 2012-2016 Forecast et parts de
marché des fournisseurs 2011 (IDC #235930, Juillet 2012). Le rapport classe les éditeurs de logiciels selon les revenus
des ventes de solutions de sécurité en 2011.
Pour plus d’informations concernant Kaspersky Lab : http://www.kaspersky.com/fr
Pour plus d’informations sur l’actualité virale : http://www.securelist.com
Contacts presse :
onechocolate communications
Edouard Fleuriau Chateau / Morgane Rybka
[email protected] / [email protected]
Tél. +33 1 41 3 75 16/06
© 2013 Kaspersky Lab. Les informations contenues dans ce document peuvent être modifiées sans préavis. Les seules
garanties associées aux produits et services Kaspersky Lab figurent dans les clauses de garantie qui accompagnent
lesdits produits et services. Le présent document ne peut être interprété en aucune façon comme constituant
une garantie supplémentaire. Kaspersky Lab décline toute responsabilité liée à des erreurs ou omissions d’ordre
technique ou éditorial pouvant exister dans ce document.
Page 3