Steamin Chemia naamioi haittaohjelmia pelipäivityksissä

Tutkijoiden mukaan salaperäistä Steam-peliä nimeltä Chemia käytetään haittaohjelmien salaiseen levittämiseen päivitystensä kautta. Peli, joka on saatavilla vain pyyntöpohjaisen ennakkojulkaisun kautta, on yhteydessä tunnettuun hakkeriryhmään, ja tämä on nyt kolmas tunnettu tapaus, jossa haittaohjelma on päässyt alustalle. Heikkojen kuvakaappausten, julkisen kehittäjän läsnäolon puuttumisen ja tiedostoihin hautautuneen huomaamattoman suoritettavan tiedoston ansiosta Chemia näyttää enemmän syötiltä kuin indie-selviytymispeliltä. Ja vaikka Valve ei ole vielä vastannut julkisesti, tämän ja aiempien tapausten kulku osoittaa, että Steamin nykyiset puolustuskeinot eivät pidä haitallisia pelejä poissa kaupasta.

Prodaftin kyberturvallisuustutkijat sanovat, että Chemian tapauksessa on kyse muustakin kuin vain hämäräperäisistä kehittäjistä. Heidän raporttinsa mukaan peliä käyttää hakkeriryhmä nimeltä Larva-208 (tunnetaan myös nimellä EncryptHub). Ryhmän väitetään asentaneen peliin kahdenlaisia haittaohjelmia: Fickle Stealerin ja HijackLoaderin. Nämä käynnistyvät, kun käyttäjät lataavat ja käynnistävät pelin, ja ne toimivat rinnakkain itse ohjelmiston kanssa. Ja vaikka Chemia on lukittu pyyntöpohjaisen käyttöoikeusjärjestelmän taakse, se on edelleen saatavilla Steamissa.

”Kun käyttäjät lataavat ja käynnistävät pelin, haittaohjelma suoritetaan laillisen sovelluksen rinnalla”, Prodaft kirjoitti.

Prodaftin GitHubissa julkaistu lainaus julkaistiin yhdessä pelin tiedostojen todellisuudessa tapahtumien erittelyn kanssa. Tutkijoiden mukaan hakkerit lisäsivät 22. heinäkuuta tiedoston nimeltä

CVKRUTNP.exe

Chemian koontiversioon. Tämä tiedosto toimii HijackLoaderina, ja sen tehtävänä on tuoda hiljaa sisään lisää haittaohjelmia, kuten Vidaria, joka on suunniteltu varastamaan tartunnan saaneiden käyttäjien henkilökohtaisia tietoja ja selaintietoja.

__LYHYTKOODIN_TUNNUS_0__

Chemian oletetaan olevan "Aether Forge Studiosin" luomus, kehittäjä, jolla ei ole verkkosivustoa tai varsinaista läsnäoloa verkossa. Steamin listaus itsessään on epämääräinen ja kuvailee Chemiaa selviytymispeliksi. Mutta ainoat saatavilla olevat visuaaliset elementit näyttävät geneerisiltä, helppokäyttöisiltä taustoilta – ei hahmoja, ei käyttöliittymää, ei pelattavuutta. Nykyisen teorian mukaan peli luotiin troijalaiseksi hevoseksi, joka tarjosi vain sen, mitä tarvittiin näyttääkseen aidolta ja päästäkseen Steamiin listalle.

Tämä ei ole ensimmäinen kerta, kun hakkerit ovat hyödyntäneet Steamin jakelujärjestelmää. Maaliskuussa toinen tapaus koski tulevaa FPS-peliä nimeltä Sniper: Phantom's Resolution. Tässä tapauksessa hakkeri ei asettanut haittaohjelmaa suoraan Steamin koontiversioon. Sen sijaan pelin sivu linkitti ulkoiselle sivustolle, jolla oli väärennetty demo. Kyseinen verkkotunnus...

sierrasixstudios.dev

oli esillä virallisella sivulla, mutta oikeat kehittäjät eivät olleet vielä ostaneet sitä. Huijari rekisteröi verkkotunnuksen, latasi haittaohjelman ja huijasi ihmisiä lataamaan sen tiedostonjakolinkkien kautta.

Sniper: Phantom's Resolutionin takana oleva studio vahvisti joutuneensa keskelle tapahtumasarjaa. Andrew-niminen edustaja selitti virhettä Reddit-julkaisussa sanomalla, että tiimi oli suunnitellut lopulta rakentavansa oikean verkkosivuston, mutta ei odottanut kenenkään nappaavan nimeä niin nopeasti. Kun haitalliset tiedostot löydettiin, Valve poisti Steam-sivun.

Aiemmin tänä vuonna toinenkin peli nimeltä PirateFi livahti Valven suojauslinjojen läpi. Kyseessä oli suoraan Steamiin ladattu ilmainen peli, joka sisälsi myös haittaohjelmia. Hakkeri mainosti sitä Telegramissa käyttäen bottiviestejä ja jopa tekaistuja työtarjouksia "moderaattorin" rooleista houkutellakseen ihmisiä peliin. Ei ole selvää, miten PirateFi pääsi Steamin taustajärjestelmän tarkistusten läpi, eikä Valve antanut yksityiskohtia julkisesti. Mutta peli vedettiin pois, kun siitä ilmoitettiin haittaohjelma.

Chemian ero on siinä, että se on suorempi yritys. Haittaohjelma on osa itse peliä ja sitä levitetään Steamin virallisen jakelujärjestelmän kautta. Tämä tarkoittaa, että hakkerit eivät tarvinneet väärennettyä verkkosivustoa tai ulkopuolisia linkkejä – he vain lähettivät päivityksen. Haittaohjelmien varmuuskopiolataajan läsnäolo tiedostoissa osoittaa, miten tämä asetelma toimii: yksi napsautus asentaa pelin, joka asentaa hyötykuorman, joka puolestaan tuo mukanaan vielä enemmän haittaohjelmia.

Valve ei ole toistaiseksi antanut julkista lausuntoa Chemia-tapauksesta. Peli on edelleen saatavilla vain pyynnöstä, joten on todennäköistä, että hyvin harvat käyttäjät ovat asentaneet sen. Mutta tämä rajallinen tavoittavuus ei muuta sitä tosiasiaa, että tämä on kolmas tunnettu Steamiin liittyvä haittaohjelmatapaus alle kuuden kuukauden sisällä.

Kaikki kolme hyökkäystä noudattivat hieman erilaisia taktiikoita. PirateFi käytti sisäisiä latauksia, Sniper hyödynsi ulkoista verkkotunnuslinkkiä ja Chemia työnsi tartunnan saaneita päivityksiä suoraan alustan läpi. Tämä monimuotoisuus on ongelma Valvelle, koska se osoittaa, että hyökkääjät testaavat erilaisia tapoja ohittaa alustan tietoturvan.

Prodaftin julkinen erittely sisältää täydellisen luettelon Chemiaan liittyvistä tiedostonimistä, verkkotunnuksista ja haittaohjelmatunnisteista. Näiden tartuntaindikaattoreiden tarkoituksena on auttaa virustorjuntaohjelmien toimittajia ja IT-järjestelmänvalvojia merkitsemään tartuntoja. Tavallisille käyttäjille ei kuitenkaan ole paljon tehtävissä, paitsi välttää tuntemattomia pelejä, erityisesti sellaisia, jotka vaativat erityisiä käyttöpyyntöjä tai jotka tulevat kehittäjiltä, joilla ei ole läsnäoloa verkossa.

Prodaft ei kertonut, kuinka kauan Chemia oli ollut listalla ennen haittaohjelman lisäämistä. Ensimmäiset merkit väärinkäytöksistä ilmestyivät " CVKRUTNP.exe" -tiedoston myötä 22. heinäkuuta, mutta se ei välttämättä ollut pelin ensimmäinen päivitys. Jos joku asensi pelin aiemmin, on epäselvää, saivatko he myös haittaohjelman aiempia versioita. Lue myös, miten Steam puuttuu aikuisviihdepeleihin uudella epämääräisellä säännöllä, jota olemme käsitelleet edellisessä tekstissä.

Ydinkysymys on luottamus. Kun peli ilmestyy Steamiin, ihmiset olettavat sen läpäisseen perustarkastuksen. Ja Valven nykyinen järjestelmä ei selvästikään havaitse kaikkea. Tällä hetkellä ainoa todellinen suodatin on käyttäjäraportit ja kolmannen osapuolen tutkimukset, kuten Prodaftin. Hyökkääjien tullessa luovemmiksi, tämä kuilu voi kasvaa.