En trusselsaktør uploadede for nylig fire “mods” indeholdende ondsindet kode til kataloget i den officielle Steam-butik, som spillere af det populære Dota 2 onlinespil bruger til at downloade community-udviklede spiltilføjelser og andre brugerdefinerede genstande.
Mods, en forkortelse for “modifikationer”, tilbyder indhold i spillet, som spillerne skaber i stedet for udviklerne.
Brugere, der installerede mods, endte med en bagdør på deres systemer, som trusselsaktøren brugte til at downloade en udnyttelse af en sårbarhed (CVE-2021-38003) i V8 open source JavaScript-motorversionen til stede i en ramme kaldet Panorama, som spillere bruger til at udvikle brugerdefinerede elementer i Dota 2.
Forskere fra Avast opdagede problemet og rapporterede det til Valve, udvikleren af spillet. Valve opdaterede straks spillets kode til en ny (patchet) version af V8 og fjernede de slyngelstatiske spilmods fra sin Steam-onlinebutik. Spilfirmaet – hvis portefølje inkluderer Counter-Strike, Left 4 Dead og Day of Defeat – underrettede også den lille håndfuld brugere, der downloadede bagdøren om problemet og implementerede uspecificerede “andre foranstaltninger” for at reducere Dota 2s angrebsoverflade, sagde Avast .
Valve reagerede ikke umiddelbart på en Dark Reading-anmodning om kommentar.
Udnyt Dota 2s tilpasningsfunktioner
Det angreb, som Avast opdagede, ligner lidt i tilgangen til de mange hændelser, hvor en trusselaktør har uploadet ondsindede applikationer til Google Play og Apples App Store, eller ondsindede kodeblokeringer til repositories som npm eller PyPI.
I dette tilfælde udnyttede den person, der uploadede koden til Valves Steam-butik, det faktum, at Dota 2 tillader spillere at tilpasse spillet på mange måder. Dotas spilmotor giver alle med selv grundlæggende programmeringsevner muligheden for at udvikle brugerdefinerede genstande såsom wearables, indlæsningsskærme, chat-emojis og endda hele brugerdefinerede spiltilstande – eller nye spil, sagde Avast. De kan derefter uploade disse brugerdefinerede varer til Steam-butikken, som undersøger tilbuddene for uegnet indhold, og derefter udgiver dem, så andre spillere kan downloade og bruge dem.
Men fordi Steam-vetting-processen er mere fokuseret på moderation end sikkerhed, kan dårlige skuespillere snige ondsindet kode ind i butikken uden for mange problemer, advarede forskerne. “Vi mener, at verifikationsprocessen for det meste eksisterer af moderationsårsager for at forhindre, at upassende indhold bliver offentliggjort,” ifølge Avasts blogindlæg. “Der er mange måder at skjule en bagdør på i en spiltilstand, og det ville være meget tidskrævende at forsøge at opdage dem alle under verificering.”
Boris Larin, ledende sikkerhedsforsker ved Kasperskys globale forsknings- og analyseteam, siger, at selvom spilvirksomheder ikke er direkte ansvarlige for ondsindet kode, der er indlejret i tredjepartsmodifikationer, skader hændelser som disse stadig virksomhedens omdømme. Dette gælder især, når modifikationer distribueres gennem særlige arkiver ejet af spiludvikleren, som kan indeholde sårbarheder.
“I dette særlige tilfælde ville rettidig opdatering af tredjepartskomponenter have været med til at beskytte spillerne,” siger Larin. “JavaScript-motorer og indbyggede webbrowsere kræver også særlig opmærksomhed, da de ofte indeholder sårbarheder, der kan udnyttes til fjernudførelse af kode.”
Spilindustrien fortsætter med at være et massivt mål
Hændelsen hos Valve er den seneste i en række af angreb, der har været rettet mod onlinespilvirksomheder og -spillere i de seneste år – og især siden COVID-19-udbruddet, hvor sociale afstandsmandater drev en stigning i onlinespil. I begyndelsen af januar brød angribere ind i Riot Games’ systemer og stjal kildekode til virksomhedens League of Legends og Teamfight Tactics-spil. Angriberne krævede $10 millioner fra Riot Games til gengæld for ikke at lække kildekoden offentligt. I en anden hændelse brød en angriber systemer på Rockstar Games sidste år og downloadede tidlige optagelser af den næste version af virksomhedens populære Grand Theft Auto-spil.
En rapport, som Akamai udgav sidste år, viste en stigning på 167 % i webapplikationsangreb på spillerkonti og spilselskaber sidste år. En flerhed af disse webapplikationsangreb — 38 % — involverede lokale filinkluderingsangreb; 34 % var SQL-injektionsangreb, og 24 % involverede cross-site scripting. Akamais undersøgelse viste også, at spilindustrien stod for omkring 37 % af alle distribuerede denial-of-service (DDoS)-angreb, hvilket var det dobbelte af den næstmest målrettede sektor.
Akamai tilskrev, ligesom andre tidligere, den store angriberinteresse i spil den meget lukrative karakter af branchen som helhed og til de milliarder af dollars, som brugere bruger via mikrotransaktioner i spillet, mens de spiller spil. I 2022, PwC fastsatte spilleindustriens indtægter til $235,7 milliarder for året. Konsulentfirmaet estimerede, at industriens indtægter vil vokse med omkring 8,4% gennem mindst 2026.
Angrebene har lagt et stigende pres på spilvirksomheder for at øge deres sikkerhedsprocesser. Brancheeksperter har tidligere bemærket, hvordan spilvirksomheder, der oplever større sikkerhedshændelser, risikerer at miste spillertillid og spillerengagement på deres platforme.
“Spilvirksomheder bør regelmæssigt opdatere og scanne deres systemer og anvende et omfattende defensivt koncept, der udstyrer, informerer og guider deres hold i deres kamp mod de mest sofistikerede og målrettede cyberangreb,” siger Larin.
“Alle depoter, uanset om det er en app-butik, et open source-pakkelager eller endda spilmodifikationsdepoter, skal automatisk kontrolleres for ondsindet indhold,” siger han. Dette bør omfatte statiske kontroller for sløret eller farlig funktionalitet og scanning med en antivirusmotor SDK, bemærker han.
Larin tilføjer: “Forgiftning af åbent kildekodelager er blevet mere udbredt i de senere år, og dets tidlige opdagelse kan forhindre større hændelser.”
