«Антивирус не поможет»: как хакеры используют Steam

В играх на движке Valve была найдена уязвимость, позволяющая захватить компьютер

Valve Corporation
В популярной киберспортивной дисциплине Counter-Strike: Global Offensive был обнаружен опасный эксплойт — в приглашении другого игрока присоединиться к матчу может прятаться опасный баг, который позволит хакеру удаленно захватить компьютер жертвы. При этом, компания Valve признала критичность уязвимости, но исправлять ошибку пока не собирается, оставляя своих игроков под угрозой взлома.

В игровом движке от Valve была обнаружена критическая уязвимость, которая позволяет хакерам взламывать и полностью контролировать компьютеры жертв, стало известно порталу Vice. Ошибка была найдена в Source Engine, который используется в Team Fortress 2, Dota 2, а также питает популярную среди киберспортсменов игру — Counter Strike: Global Offensive.

Об этом эксплойте исследователи кибербезопасности сообщили Valve еще в июне 2019 года, однако до сих пор компания Гейба Ньюэлла не предприняла никаких действий для его ликвидации.

Эксперт в области кибербезопасности и член некоммерческой группы исследователей безопасности SecretClub под никнеймом Флориан, нашедший эксплойт, отметил, что эта ошибка была исправлена лишь в некоторых играх студии, однако игроки CS:GO все еще находятся в опасности. Также он продемонстрировал, как работает уязвимость.

По словам киберспециалиста, ему удалось закодировать эксплойт, чтобы воспользоваться ошибкой, которая, по его оценке, работает в 80% случаев. Также хакеры могли использовать этот ошибку и сделать возможным его автоматическое распространение по компьютерам.

«Как только хакер заразил компьютер одной жертвы, она уже сможет заразить другую и так до бесконечности», — объяснил Флориан.

Флориан вел переписку с Valve на платформе HackerOne, которую используют многие компании для получения отчетов об уязвимостях. Valve признала, что она медленно реагирует на угрозу, даже несмотря на то, что классифицировала ошибку как «критическую».

«Честно говоря, я очень разочарован, потому что они просто игнорировали меня большую часть времени», — поделился своими мыслями Флориан.

Карл Шоу, основатель Secret Club, выделил еще две уязвимости, о которых, по его словам, сообщили Valve члены его группы.

«Ответ Valve был полным разочарованием. Они всегда медленно реагируют на угрозы, и практически не выпускают патчи. Они действительно не заботятся о безопасности своих игроков», — прокомментировал происходящее Шоу.

Это не первый случай, когда Valve неохотно исправляет обнаруженные уязвимости. В 2018 году Vice также стало известно, что в Steam была обнаружена ошибка, которая также позволяла хакерам захватить компьютеры жертв. Причем эксплойт существовал на платформе около 10 лет. Через год после этого, Valve запретила нашедшему эксплойт участвовать в своей программе bug bounty, в рамках которой нашедшем баги выплачивалось вознаграждение.

Эксперт группы системной архитектуры Центра информационной безопасности компании «Инфосистемы Джет» Артем Бобриков рассказал, как именно злоумышленники используют эксплойт.

«Мошенники могут получить контроль над компьютером жертвы, если та принимает приглашение присоединиться к игре на движке Source через онлайн-сервис цифрового распространения компьютерных игр Steam.

Еще одна потенциально опасная ситуация – когда жертва подключается к серверу, который администрирует не компания-разработчик, а какой-то игрок, такой сервер называется коммьюнити-сервер.

Также злоумышленники могут получить контроль над компьютером геймера, когда тот загружает ресурсы игры, например, карты с коммьюнити-сервера», — рассказал Бобриков.

Эксперт отметил, что команда SecretClub, которая нашла эксплойт, не выкладывала подробного пояснения, как конкретно работают уязвимости. Поэтому дальнейшие рассуждения — это скорее предположения, а не непреложная истина.

«Во-первых, в роликах, которые демонстрируют уязвимости, Counter Strike запускается только в untrusted mode – режиме, который позволяет третьим приложениям взаимодействовать с игрой. Этот режим используется, например, когда нужно запустить окно мессенджера поверх игры. Также во всех роликах для демонстрации используются коммьюнити-сервера, а не официальные серверы Valve. Поэтому можно предположить, что для эксплуатации обнаруженной уязвимости используется сервер, который, как-то модифицирован. Возможно, что режим trusted mode (защищенным режимом) препятствует эксплуатации уязвимости», — пояснил эксперт.

Пока разработчик игры компания Valve не исправит уязвимости, игрокам важно самим принять меры по защите своих компьютеров.

Нельзя принимать приглашения через онлайн-сервис Steam от незнакомцев и друзей, которые были неактивны длительное время — такие аккаунты часто взламывают, советует эксперт.

«Также нельзя играть в Сounter Strike в небезопасном режиме (untrusted mode). Не стоит думать: «У меня стоит антивирус – меня не взломают». Это большое заблуждение. Активность таких эксплоитов, как те, что разработали специалисты SecretClub, сложно отличить от реализации обычного программного кода. Большинство антивирусов на вашем компьютере или телефоне не посчитают эту активность неправомерной и не уберегут ваше устройство от взлома», — считает эксперт.

«Насколько нам известно, данных о том, что злоумышленники уже эксплуатировали эту уязвимость нет. Однако она действительно может представлять угрозу: когда пользователь получает приглашение присоединиться к игре и переходит по ссылке, происходит эксплуатация бага, и компьютер может оказаться заражен вредоносным ПО. Вероятно, в скором времени Valve может исправить эту уязвимость с помощью патча», — считает эксперт по кибербезопасности в «Лаборатории Касперского» Борис Ларин.

Однако руководитель аналитического департамента AMarkets Артем Деев считает иначе.

«Эту уязвимость компания не просто не хочет удалить, а, видимо, не может. И пока получается так, что мошенники могут перехватить управление вашей техникой удаленно, в результате захватить личные данные,(в том числе банковские, или персональные данные документов. Поскольку подробной информации, как это работает, каким способами действуют мошенники, пока нет, сложно что-либо и подсказать. Участники Secret Club не раскрывают технические детали уязвимости, так как она все еще влияет на некоторые игры компании. Valve, в свою очередь, давно просрочила все сроки по устранению уязвимостей — 90 дней — и просто не может пока справиться с проблемой», — заключил эксперт.