Bir tehdit aktörü yakın zamanda, popüler Dota 2 çevrimiçi oyununun oyuncularının topluluk tarafından geliştirilen oyun eklentilerini ve diğer özel öğeleri indirmek için kullandıkları resmi Steam mağazasındaki kataloğa kötü amaçlı kod içeren dört “mod” yükledi.
Modifikasyonların kısaltması olan modlar, geliştiricilerin değil oyuncuların oluşturduğu oyun içi içerik sunar.
Modları yükleyen kullanıcıların sistemlerinde, tehdit aktörünün bir güvenlik açığından yararlanma indirmek için kullandığı bir arka kapı oluştu (CVE-2021-38003) oyuncuların Dota 2’de özel öğeler geliştirmek için kullandıkları Panorama adlı bir çerçevede bulunan V8 açık kaynaklı JavaScript motoru sürümünde.
Avast’tan araştırmacılar sorunu keşfetti ve oyunun geliştiricisi Valve’a bildirdi. Valve, oyunun kodunu hemen V8’in yeni (yamalı) bir sürümüyle güncelledi ve hileli oyun modlarını Steam çevrimiçi mağazasından kaldırdı. Portföyünde Counter-Strike, Left 4 Dead ve Day of Defeat’in yer aldığı oyun şirketi, arka kapıyı indiren bir avuç kullanıcıyı da sorun hakkında bilgilendirdi ve Dota 2’nin saldırı yüzeyini azaltmak için belirtilmemiş “diğer önlemleri” uygulamaya koydu. .
Valve, Dark Reading yorum talebine hemen yanıt vermedi.
Dota 2’nin Özelleştirme Özelliklerinden Yararlanma
Avast’ın keşfettiği saldırı, bir tehdit aktörünün Google Play’e ve Apple’ın App Store’a kötü amaçlı uygulamalar veya npm veya PyPI gibi depolara kötü amaçlı kod blokları yüklediği çok sayıda olaya yaklaşım olarak biraz benzer.
Bu durumda, kodu Valve’ın Steam mağazasına yükleyen kişi, Dota 2’nin oyuncuların oyunu birçok şekilde özelleştirmesine izin verdiği gerçeğinden yararlandı. Avast, Dota’nın oyun motorunun temel programlama becerilerine sahip herkese giyilebilir cihazlar, yükleme ekranları, sohbet emojileri ve hatta tüm özel oyun modları veya yeni oyunlar gibi özel öğeler geliştirme yeteneği verdiğini söyledi. Daha sonra bu özel öğeleri, teklifleri uygun olmayan içerik açısından inceleyen ve ardından diğer oyuncuların indirip kullanması için yayınlayan Steam mağazasına yükleyebilirler.
Ancak araştırmacılar, Steam inceleme sürecinin güvenlikten çok denetime odaklandığı için, kötü aktörlerin çok fazla sorun yaşamadan kötü amaçlı kodları mağazaya sızdırabileceği konusunda uyardı. Avast’ın blog gönderisine göre, “Doğrulama sürecinin çoğunlukla, uygunsuz içeriğin yayınlanmasını önlemek için denetleme nedenleriyle var olduğuna inanıyoruz.” “Bir oyun modunda bir arka kapıyı gizlemenin birçok yolu vardır ve doğrulama sırasında hepsini tespit etmeye çalışmak çok zaman alır.”
Kaspersky’nin küresel araştırma ve analiz ekibinde baş güvenlik araştırmacısı olan Boris Larin, oyun şirketlerinin üçüncü taraf modifikasyonlarına yerleştirilmiş kötü amaçlı kodlardan doğrudan sorumlu olmadığını, ancak bu gibi olayların şirketin itibarına zarar verdiğini söylüyor. Bu, özellikle değişiklikler, oyun geliştiricisine ait olan ve güvenlik açıkları içerebilen özel havuzlar aracılığıyla dağıtıldığında geçerlidir.
Larin, “Bu özel durumda, üçüncü taraf bileşenlerinin zamanında güncellenmesi oyuncuların korunmasına yardımcı olabilirdi” diyor. “JavaScript motorları ve yerleşik Web tarayıcıları da, genellikle uzaktan kod yürütme için yararlanılabilecek güvenlik açıkları içerdiklerinden, özel dikkat gerektirir.”
Oyun Sektörü Büyük Bir Hedef Olmaya Devam Ediyor
Valve’daki olay, son yıllarda çevrimiçi oyun şirketlerini ve oyuncuları hedef alan bir dizi saldırının en sonuncusu ve özellikle de sosyal mesafe zorunluluklarının çevrimiçi oyunlarda bir artışa yol açtığı COVID-19 salgınından bu yana. Ocak ayı başlarında, saldırganlar Riot Games’in sistemlerine girdiler ve şirketin League of Legends ve Teamfight Tactics oyunlarının kaynak kodunu çaldılar. Saldırganlar, kaynak kodunu kamuya sızdırmamak karşılığında Riot Games’ten 10 milyon dolar talep etti. Başka bir olayda, bir saldırgan geçen yıl Rockstar Games’in sistemlerine girdi ve şirketin popüler Grand Theft Auto oyununun bir sonraki sürümünün ilk görüntülerini indirdi.
Akamai’nin geçen yıl yayınladığı bir rapor, Web uygulaması saldırılarında %167 artış geçen yıl oyuncu hesaplarında ve oyun şirketlerinde. Bu Web uygulaması saldırılarının çoğu – %38’i – yerel dosya dahil etme saldırılarını içeriyordu; %34’ü SQL enjeksiyon saldırılarıydı ve %24’ü siteler arası betik çalıştırmayı içeriyordu. Akamai’nin anketi ayrıca, oyun endüstrisinin tüm dağıtılmış hizmet reddi (DDoS) saldırılarının yaklaşık %37’sini oluşturduğunu gösterdi; bu, en çok hedeflenen ikinci sektörün iki katıydı.
Akamai, daha önce diğerleri gibi, saldırganların oyun oynamaya olan ilgisini bir bütün olarak sektörün son derece kazançlı doğasına ve kullanıcıların oyun oynarken oyun içi mikro dönüşümler aracılığıyla harcadıkları milyarlarca dolara bağladı. 2022’de PwC oyun endüstrisi gelirlerini yıl için 235,7 milyar dolar olarak belirledi. Danışmanlık firması, endüstri gelirlerinin en azından 2026’ya kadar yaklaşık %8,4 artacağını tahmin ediyor.
Saldırılar, oyun şirketleri üzerinde güvenlik süreçlerini hızlandırmaları için artan bir baskı oluşturdu. Sektör uzmanları daha önce, büyük güvenlik olayları yaşayan oyun şirketlerinin, platformlarında oyuncu güvenini ve katılımını kaybetme riskiyle nasıl karşı karşıya kaldıklarını belirtmişti.
Larin, “Oyun şirketleri sistemlerini düzenli olarak güncellemeli ve taramalı ve ekiplerini en karmaşık ve hedefli siber saldırılara karşı mücadelelerinde donatan, bilgilendiren ve yönlendiren kapsamlı bir savunma konsepti kullanmalıdır” diyor.
“Bir uygulama mağazası, bir açık kaynak paket deposu ve hatta oyun değiştirme havuzları olsun, tüm depolar kötü amaçlı içerik için otomatik olarak kontrol edilmelidir” diyor. Bu, gizlenmiş veya tehlikeli işlevsellik için statik kontrolleri ve bir antivirüs motoru SDK’sı ile taramayı içermelidir, diye belirtiyor.
Larin şunları ekliyor: “Açık kaynak kod deposu zehirlenmesi son yıllarda daha yaygın hale geldi ve erken tespiti daha büyük olayları önleyebilir.”
