Angriff auf Videospiele-Hersteller: Hacker haben es auf Quellcode abgesehen

Die Hacker der "Threat Group 3279" sind seit Jahren aktiv und versuchen, Quellcode von Spielen zu stehlen und die Sicherheitsvorkehrungen der dazugehörigen DRM-Systeme zu knacken. Die Gruppe soll aus China stammen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 17 Beiträge
Von
  • Fabian A. Scherschel

Sicherheitsforscher von Dell SecureWorks haben systematische Angriffe auf Firmen aus der Videospiele-Branche untersucht und ein Profil einer Hackergruppe erstellt, die sie "Threat Group 3279" (TG-3279) nennen. Die Hacker sind seit 2009 aktiv und setzen eine Kombination aus im Netz erhältlichen Exploit-Kits und eigenen Skripten ein, um Systeme in der Netzwerkinfrastruktur der Firmen zu kompromittieren.

Sie nisteten sich zum Teil über längere Zeit auf den Rechnern ein und aktualisierten ihre Exploit-Tools mit neueren Versionen. Die Dell-Forscher vermuten, dass die Täter Quellcode für Spiele abgreifen, um diesen dann weiterzuverkaufen. Außerdem sollen sie es auf Informationen abgesehen haben, die ihnen helfen, die DRM-Systeme der Hersteller zu knacken.

Diese von den Hackern eingeschleuste .ini-Datei enthält Schadcode

(Bild: Dell SecureWorks)

Die Hacker setzten Schadcode in DLL-Dateien ein, die zum Teil legitime DLLs auf dem System ersetzen. Die bösartigen Dateien waren dabei mit einem gültigen Zertifikat einer chinesischen Firma unterschrieben, das allerdings zum Zeitpunkt der Angriffe im Jahre 2013 schon zurückgezogen worden war.

Die Dell-Forscher gehen davon aus, dass TG-3279 das entsprechende Zertifikat kopiert hat, um damit den eigenen Schadcode zu unterzeichnen und auf Windows-7-Systemen installieren zu können. Diese prüfen digitale Zertifikate von DLLs, bevor diese ausgeführt werden. Ihre Ziele haben die Hacker wohl vor dem Angriff mit Netzwerkscannern auskundschaftet, um Teile der Infrastruktur zu finden, die Schwachstellen aufweisen. Diese haben sie laut SecureWorks händisch angegriffen, also ohne vorgefertigte Exploit-Kits. (fab)