Instalowanie konia trojańskiego przez producenta gry było operacją szpiegowską

dodał 20 lutego 2018 o 10:02 w kategorii Włamania, Złośniki  z tagami:
Instalowanie konia trojańskiego przez producenta gry było operacją szpiegowską

Afera z instalowaniem złośliwego oprogramowania na komputerach użytkowników dodatku do gry Microsoft Flight Simulator nabiera rumieńców. Wyjaśnienia szefa firmy pokazują obraz sprytnej operacji szpiegowskiej.

Wczoraj opisaliśmy ciekawy incydent, w którym producent popularnego dodatku do symulatora lotniczego został przyłapany na instalowaniu klientom, korzystającym z pirackich numerów seryjnych, konia trojańskiego wykradającego loginy i hasła zapamiętane w przeglądarce Chrome. Przed kilkoma godzinami Lefteris Kalamaras, właściciel firmy, opisał dalsze okoliczności incydentu – a tak naprawdę sprytnie zorganizowanej operacji szpiegowskiej.

Celem jeden użytkownik i forum piratów

Kalamaras wyjaśnił, że od momentu wydania pierwszej wersji A320-X jego firma śledziła działania jednego crackera, który opanował sposób generowania kodów licencyjnych bez udziału serwera producenta. Nie udało się wtedy zidentyfikować sposobu, w jaki kody były generowane, jednak pracownicy firmy namierzyli konkretny adres IP i użytkownika, który zajmował się procederem. Wiedzieli już sporo o poszukiwanym piracie, lecz nie potrafili uzyskać dostępu do strony, na której dzielił się swoimi produktami z innymi piratami. Udało się jedynie ustalić, że korzysta z przeglądarki Chrome. Dlatego właśnie zaplanowano operację szpiegowską, której celem był jeden pirat. Kod instalatora zmodyfikowano tak, by po wykryciu numeru seryjnego używanego przez tego właśnie pirata uruchomiony został program wykradający loginy i hasła.

Kalamaras poinformował, że operacja zakończyła się sukcesem – firmie udało się uzyskać dostęp do nie jednego, a dwóch serwisów przestępców i poznać technologię używaną w generowaniu numerów seryjnych. Okazało się, że piraci, korzystając ze sporej infrastruktury i dedykowanego oprogramowania dla producentów gier eSellerate, stworzyli generatory kluczy, które zamiast kontaktować się z serwerem producenta, łączyły się z ich własnym serwerem licencyjnym dzięki czemu byli w stanie ominąć kontrole stosowane przez prawdziwego producenta i tworzyć nieautoryzowane, lecz w pełni działające klucze licencyjne. Tak wyglądała strona poszukiwanego przestępcy:

a tak forum, gdzie spotykali się miłośnicy latania za darmo na platformach wielu producentów:

Oba serwisy były niedostępne w momencie pisania artykułu.

Hakowanie hakera?

Warto zauważyć, że opisywana sytuacja nie różni się szczególnie od bardzo popularnego ostatnio dylematu – czy można hakować hakerów? Czy obrońcy powinni włamywać się do infrastruktury atakujących, by monitorować ich działanie i ustalać tożsamość napastników? Czy firmy powinny prowadzić takie działania?

Musimy przyznać, że znamy przypadki, gdzie takie własnie akcje ofensywne doprowadziły do ujęcia przestępców lub uchroniły wiele innych ofiar przez skutkami działań włamywaczy (a innym pozwoliły na odkrycie, że ofiarami są już od dawna). Robią to także niektóre polskie firmy – i robią to całkiem skutecznie. Co prawda ich działania są całkiem nielegalne (przez co nigdy ich tu nie opiszemy), ale nie będziemy udawać świętszych od papieża – to skuteczna metoda o ile używają jej osoby o właściwych kompetencjach. Czasem naprawdę nie można liczyć na współpracę firm hostingowych (szczególnie w innych krajach) i okazuje się, że stronę phishingową można usunąć własnoręcznie lub pobrać bazę danych wykradzionych przez przestępcę od klientów danej instytucji. Skutki takich operacji, jeśli prowadzone są rozsądnie, znacząco przewyższają potencjalne straty. Opisywany powyżej przykład pokazuje, że przestępcy także mają się czego obawiać – i to dobra wiadomość.