Un jeu sans règles

Les analystes de Kaspersky Lab mènent actuellement des recherches sur une série d’attaques ciblées contre les développeurs de jeux vidéo. Il s’avère que des cybercriminels volent de la monnaie utilisable dans les jeux, des codes sources et des certificats numériques. Dans ce post, vous apprendrez tout ce que les joueurs en ligne (et les développeurs) doivent savoir.

Les attaques APT (de l’anglais Advanced Persistent Threat) ne ciblent pas seulement les agences gouvernementales et militaires; les cybercriminels sont tout aussi capables de passer leur temps et de dépenser leur argent à pirater une compagnie ordinaire, du moment qu’ils peuvent en tirer des bénéfices. Ce fait a été clairement démontré dans les résultats d’une étude menée par les experts de Kaspersky Lab pendant un an, qui a découvert l’existence d’un groupe criminel qui passait son temps à espionner les développeurs de jeux vidéo.

Bien que les cybercriminels ciblent exclusivement les ordinateurs de compagnies de jeux vidéo, les premières infections ont été identifiées sur les ordinateurs de joueurs ordinaires. Une erreur des pirates a fait qu’un cheval de Troie s’est retrouvé sur un serveur de mise à jour et a été téléchargé sur les ordinateurs des joueurs,  où certains utilisateurs consciencieux l’ont détecté. Le cheval de Troie a immédiatement attiré l’attention des analystes de malwares car il s’agit d’un outil d’administration à distance au complet qui permettait aux pirates d’obtenir un contrôle total des ordinateurs de leurs victimes. En outre, il incluait un certificat de licence authentique et valide de façon à pouvoir s’installer sans que l’ordinateur ne le notifie à la victime.

Une enquête sur la manière dont ce fichier réussissait à pénétrer dans un serveur de mise à jour a révélé tout un réseau de cyber-espionnage comme on en voit dans les grosses productions hollywoodiennes. Premièrement, des messages d’hameçonnage étaient utilisés pour infecter les ordinateurs de certains employés de compagnies de jeux vidéo. Après avoir réussi à infecter un ordinateur, le cheval de Troie, Winnti, téléchargeait une multitude de modules d’administration à distance à partir de serveurs C&C, et envoyait un rapport informant les pirates de la situation. Un des cybercriminels établissait ensuite une connexion manuelle à l’ordinateur, évaluait la situation et décidait s’il était intéressant de continuer à surveiller l’ordinateur ou pas. Si le pirate décidait de ne pas poursuivre la surveillance de l’appareil, toute trace du logiciel espion était alors supprimée de l’ordinateur. S’ils décidaient du contraire, les cybercriminels collectaient tout ce qu’ils pouvaient. La priorité était donnée aux codes sources des jeux vidéo et aux certificats de licence. Une fois en possession des codes sources, les criminels pouvaient ensuite se consacrer à la recherche de vulnérabilités dans les serveurs de jeux et à la création de mécanismes pour créer des biens virtuels ou lancer des serveurs de jeux alternatifs piratés pour en vendre l’accès à bas prix. Pour ce qui est des certificats de licence, ils étaient utilisés pour créer des nouveaux malwares et probablement vendus à d’autres cybercriminels, les certificats volés ayant été retrouvés plus tard dans d’autres réseaux criminels et utilisés dans des affaires de cyber-espionnage politique.

L’industrie du jeu vidéo est réellement internationale : les compagnies les plus importantes possèdent de vastes réseaux de bureaux partout à travers le monde, et un certain nombre de développeurs coopèrent ensemble afin de faciliter la localisation et la commercialisation des jeux en accédant aux réseaux corporatifs des uns et des autres. Un seul réseau infecté est donc suffisant aux cybercriminels pour qu’ils puissent infecter d’autres compagnies. Bien qu’il soit encore difficile d’évaluer l’ampleur du problème, il est maintenant clair que des douzaines de compagnies ont été attaquées en Russie, en Allemagne, aux Etats-Unis, en Chine, en Corée du Sud et dans d’autres pays.

Bien que le groupe criminel ciblait les développeurs de jeux vidéo, les joueurs en subiront également les conséquences – pour diverses raisons. Premièrement, la monnaie utilisée dans les jeux ainsi que les objets qui ne sont pas pris en compte par les développeurs créent un déséquilibre dans le monde du jeu vidéo, dans lequel tous les paramètres, y compris ceux de l’argent, sont calculés minutieusement. Deuxièmement, les entreprises dont le travail de plusieurs années a été volé par les cybercriminels, ne pourront peut-être pas amortir leurs coûts de développement, leurs utilisateurs jouant sur des serveurs piratés. Ce qui pourrait, au bout du compte, avoir un impact énorme sur le financement du jeu vidéo en question. Troisièmement, les cybercriminels peuvent utiliser des serveurs de mise à jour compromis pour distribuer leur malware à tous les joueurs. Nous n’avons pas de preuves indiquant que le groupe Winnti infecte les joueurs délibérément en infectant certaines compagnies, mais nous ne pouvons pas écarter cette hypothèse non plus – les cybercriminels pourraient être payés par un tiers pour effectuer cette tâche.

Afin d’éviter cette menace, vous pouvez prendre certaines précautions :

• Surveillez de près les paramètres configurés dans le mode « jeu », qui est disponible dans de nombreuses solutions anti-virus. En règle générale, les logiciels anti-virus n’affichent pas d’alertes et réduisent le niveau d’analyse quand le jeu est joué en plein écran, afin de ne pas affecter les performances de l’ordinateur. Vérifiez que votre anti-virus réagira en cas d’infection – l’objet malveillant devrait être bloqué ou mis en quarantaine et non pas omis.
• Utilisez un logiciel de sécurité complet qui inclut une protection anti-virus, un outil de contrôle des comportements, un pare-feu, etc. Mettez à jour le logiciel régulièrement et prenez toutes les alertes au sérieux, même si elles concernent des fichiers qui proviennent d’une source qui paraît fiable, telle qu’un serveur de mise à jour de jeux.
• Les produits Kaspersky Lab détectent et suppriment les programmes malveillants et autres utilisés par le groupe Winnti, connus sous les noms suivant : Backdoor.Win32.Winnti, Backdoor.Win64.Winnti, Rootkit.win32.Winnti et Rootkit.Win64.Winnti.

Et enfin, le conseil le plus général qui pourrait être donné aux joueurs est le suivant : ne supportez pas le marché noir. Vous connectez à des serveurs non-officiels encourage les cybercriminels à attaquer les développeurs de jeux encore et encore. Et chaque attaque est une pierre de plus au mur qui se dresse entre les utilisateurs et de nouveaux jeux intéressants pour lesquels les développeurs fournissent beaucoup de temps et d’efforts.