Баги и уязвимости в компьютерных играх встречаются часто, особенно если они вышли давно. И это логично: разработчикам выгоднее вкладываться в новые проекты. В итоге любимые игры постепенно превращаются в плацдарм для хакинга. Под прицел попадают все: сами разработчики, пользователи и даже их работодатели.
Да, возможно, мы сгущаем краски. Но новости об опасных дефектах в популярных играх появляются регулярно. При этом удаленные сотрудники подключаются к корпоративным системам с тех же ПК, на которых запускают шутеры с уязвимостями от 2015 года…
В этой статье попытаемся выяснить:
-
Как часто находят и устраняют уязвимости в популярных продуктах гейминдустрии.
-
Чем потенциально опасны сотрудники, которые любят играть в компьютерные игры.
-
Какими средствами защиты обычно закрываются такие угрозы в компаниях.
О чем речь
По большому счету, компьютерная игра — это обычное приложение. Его тоже разрабатывают люди. Они могут писать код с ошибками или пропускать баги в процессе тестирования. Мысль капитанская, но факт.
Подтверждение тому — списки CVE (известных уязвимостей и дефектов безопасности). Ради интереса мы заглянули в агрегатор Vulnres и проверили данные по самой продаваемой игре в Steam — Dota 2. Нашли там и обнаружили 5 CVE, причем все достаточно серьезные, со средним значением 7,8 из 10 по шкале CVSS.
Самую опасную дыру в этой игре обнаружили в 2023 году в Avast. Эксперты выяснили, что клиент Dota 2 использует старую версию движка JavaScript (V8), которая содержит в себе вредоносный код. Благодаря уязвимости злоумышленники могли получить доступ к компьютеру жертвы и без ее ведома выполнять любой код на JavaScript.
Еще один пример с уязвимостями в популярных играх — Counter-Strike. У шутера всех времен и народов мы нашли 5 CVE, средний CVSS по ним составляет 7,76. К слову, франшиза остается удобным вариантом для прокачки хакерских скилов. Так, в декабре 2023 года в комьюнити Counter-Strike 2 показали, как можно провести XSS-атаку на пользователей через новую функциональность с добавлением картинок в чат.
Также не обошлось без проблем в другом бестселлере — GTA Online. Баг, зарегистрированный как CVE-2023-24059, обнаружили и пофиксили в январе 2023-го. Дефект позволял не только уводить аккаунты игроков, но и устанавливать на их устройствах зловредное ПО.
Конечно, CVE не дают нам полное представление о реальном количестве уязвимостей в играх. Такие записи говорят об уже исправленных дефектах. Сколько проблем в продуктах гейминдустрии на самом деле, мы можем только догадываться.
При этом часто вендоры знают о дефектах, но не спешат их решать. Так случилось с Call of Duty: Black Ops III, которая вышла в далеком 2015 году. В игре есть RCE-уязвимости, о которых уже сообщали разработчику — Activision. Но компания много лет игнорирует такие репорты.
Уязвимости Black Ops III тем временем позволяют злоумышленнику, который находится в одном лобби с жертвами, захватывать контроль над их компьютерами. В итоге пользователи устали ждать обновлений и допиливают игру самостоятельно. Как проходит процесс, можно почитать на Гитхабе.
Основные угрозы
Большинство инцидентов с геймерами-жертвами — чистый фишинг. Работают такие схемы чаще всего через чаты, форумы и другие площадки комьюнити. Популярность фишинга объясняется просто — это самый легкий и дешевый способ добиться преступной цели. Самый банальный пример — развод на деньги в стиле «ты у меня что-то купил, но не заплатил».
Использовать game vulnerabilities намного сложнее. Злоумышленнику нужно иметь технические навыки и опыт. Но такие атаки все равно не редкость. Хотя обычно инциденты сводятся к банальной краже аккаунтов пользователей. Однажды такое произошло с одним из самых известных коллекционеров скинов в CS:GO. В 2022 году некто перехватил данные к его аккаунту в Steam. А затем он стал продавать скины, общая стоимость которых оценивалась в 2 млн долларов.
Реже хакеры через уязвимости выходят на инфраструктуру компании-разработчика. И тогда как повезет: могут слить учетные данные пользователей, зашифровать файлы компании и далее по списку типичных атак на бизнес.
Историй, когда от уязвимостей в играх страдали не связанные с геймдевом компании, в открытом доступе мы не нашли. Во всяком случае официальных подтверждений тому нет. (Если примеры есть у вас, поделитесь в комментариях.)
Хотя представить такие сценарии атак мы можем. Для этого допустим, что самые громкие уязвимости 2022—2023 не исправлялись разработчиками, а остались на вооружении хакеров.
Декабрь 2023: Counter Strike 2
5 декабря 11.00. В популярном шутере обнаружили XSS-уязвимость, которая позволяет получить доступ к личным данным игроков. Комьюнити просит воздержаться от входа в игру до ее обновления.
6 декабря 19.30. Любитель «контры» Олег возвращается домой с работы и усаживается в свое геймерское кресло. В это время злоумышленник Антон меняет свой ник в профиле Steam на HTML-код, содержащий ссылку на изображение с зашитым в него вредоносным кодом. Затем хакер инициирует в игре голосование за исключение кого-то из участников команды. Когда окно с голосованием появляется на экране Олега, вредоносный код выполняется и похищает его учетные данные.
17 декабря 10.11. Антон выставляет базу учеток на продажу в даркнете. Ее тут же покупает Игорь, который хорошо прокачался на атаках с фишингом.
18 декабря 12.19. Игорь быстро сводит инфу со своими базами и понимает: у него есть контакты директора известной сети салонов красоты.
19 декабря 15.30. Директор и любитель «контры» Олег получает письмо от Игоря, который представился системным администратором. В сообщении злоумышленник написал, что занимается обновлением учетных данных сотрудников компании. Он попросил Олега прислать текущие логины-пароли для доступа к рабочей станции сотрудника и ресурсам домена. А затем для большей убедительности звонит ему и проговаривает все то же самое устно.
19 декабря 16.05. Игорь получает заветные учетные данные, входит в корпоративную сеть и скачивает базу с персональными данными клиентов компании.
Конечно, в реальности провести такую атаку намного сложнее. На дворе не начало нулевых, пользователи стали более бдительными. Скорее всего, преступнику придется использовать поддельный домен, максимально адаптировать дизайн страницы под фирменный стиль компании, разработать ложную форму для сбора данных и т.д. Но, по большому счету, сам сценарий останется похожим.
Январь 2022: Dark Souls
11 января 19.00. За несколько лет в Bandai Namco поступило множество сообщений от пользователей о RCE-уязвимостях, с помощью которых можно получить контроль над устройством игрока. Олег игнорирует все такие новости, поэтому садится в свое любимое геймерское кресло, отключает антивирус (этот момент обсудим позже) и запускает Dark Souls.
11 января 19.22. Злоумышленник Антон использует уязвимость и в фоновом режиме устанавливает кейлоггер на ПК жертвы.
12 января 10.30. Зловред перехватывает данные Олега для удаленного доступа в корпоративную СЭД и передает их Антону.
12 января 11.23. Антон трудится на группировку вымогателей. Злоумышленники получают доступ ко всей документации компании, зашифровывают файлы и требуют от Олега выкуп в 10 млн рублей.
Этот кейс также не раскрывает все детали и вариации возможных этапов, но суть остается той же — лучше не использовать уязвимое ПО.
Какие риски есть еще
Мы любим компьютерные игры. Но при этом понимаем, что геймеры — это слишком разнородное сообщество. А значит, среди них есть как осторожные пользователи, так и особо привлекательные для хакинга персонажи.
К последним, конечно, относятся любители торрентов. Как пишут «Ведомости» со ссылкой на эксперта XYZ School, в 2023 году 73% российских геймеров играли в хотя бы одну пиратскую копию. При этом доля таких пользователей увеличилась: в 2022-м их было 69%.
Установочные файлы, полученные нелегальным образом, часто содержат вредоносы. При этом большая часть пиратского софта, особенно скачанного с торрентов и похожих ресурсов, как правило, снабжается бэкдорами — отмечает эксперт Positive Technologies в интервью для Хабра.
Еще одна каста геймеров — персонажи, которые во время игры отключают антивирусы и брандмауэры (как жертва Олег из примера выше). Некоторые и вовсе отказываются от средств защиты, потому что они снижают производительность и мешают игровому процессу. Хотя насколько критично меняются показатели — спорный вопрос.
Множество угроз также несут в себе приложения, которые геймеры активно используют помимо игр. В них тоже бывают критичные дефекты безопасности (вот это новость).
|
Steam и другие площадки для размещения игр |
Особо опасная уязвимость в Steam была обнаружена в 2020 году. Используя ее, злоумышленник мог захватить сотни тысяч компьютеров, не требуя от геймеров нажимать на вредоносное электронное письмо или ссылку. В отличие от других уязвимостей, жертвы неосознанно попадались под влияние хакера. Для этого им нужно было просто войти в игру. В 2023 году злоумышленники взломали учетные записи сотни разработчиков на платформе Steam и добавили в их игры вредоносное ПО. Но вендор быстро обнаружил проблему и сообщил пользователям об этом. |
|
Discord и прочие утилиты для общения с командой |
Сообщений о проблемах в продукте немало. Например, в прошлом году разработчик признал утечку данных 760 тыс. пользователей, которая произошла по вине сотрудника. |
|
GeForce Experience, OBS Studio и другие приложения для записи видео, оценки FPS и т.д. |
В 2020 году разработчик GeForce Experience залатал сразу две серьезные дыры. Одна из уязвимостей (CVE-2020-5977) получила CVSS 8,2 и могла привести к множеству вредоносных атак на затронутые системы, включая выполнение кода, отказ в обслуживании, повышение привилегий и раскрытие информации. |
|
AutoHotKey и аналоги для настройки кнопок клавиатуры и мыши |
Эксперты Morphisec Labs в 2021 году сообщили о вредоносных кампаниях, в которых использовался AutoHotkey. С его помощью преступники распространяли трояны для удаленного доступа к устройствам жертв, в том числе Revenge RAT, LimeRAT, AsyncRAT, Houdini и Vjw0rm. |
|
Spotify и прочие сервисы для прослушивания музыки во время игры |
В 2020 году из-за утечки данных Spotify сбросил 350 тыс. паролей пользователей. Хотя в официальном заявлении владелец продукта сообщил, что проблема коснулась лишь небольшой части аккаунтов. |
И наконец, опасность могут представлять моды к играм. Примеры встречаются редко, но они есть. Так, в 2022 году Steam забанил моддера Chaos (Holy Water), который встраивал автоапдейтер в моды для игры Cities: Skylines. С его помощью он удаленно установил трояны и другое вредоносное ПО на устройства 35 тыс. игроков.
Как защитить компанию
Компьютерные игры — это ПО, которое чаще устанавливается на конечных устройствах. А значит, главное здесь — обеспечить безопасность на уровне эндпойнтов.
Советы очевидные, но лучше их напомнить, чем умолчать:
-
проверяем, включен ли антивирус на устройствах и когда он обновлялся в последний раз,
-
следим за используемыми версиями операционной системы,
-
отслеживаем подключаемые к сети устройства,
-
внедряем Zero Trust — модель безопасности с постоянными проверками устройств, id и сервисов,
-
используем шифрование данных и парольную политику,
-
контролируем приложения.
К счастью, многие задачи и угрозы закрываются стандартным функционалом NGFW, решениями для VPN, многофакторной аутентификацией пользователей и другими привычными средствами защиты.
И конечно, есть смысл подумать о VDI. Виртуальный рабочий стол изолирован от устройства пользователя. И даже если на ПК стоит старая версия операционной системы или нет антивируса, это вряд ли станет риском для безопасности компании.
