13 lutego 2022 roku na stronie internetowej EuroGamer opublikowany został post informujący o rozprzestrzenianiu się szkodliwego kodu wśród użytkowników gry „Cities: Skylines”. Dwa dni później artykuł został zaktualizowany: nikt nie ucierpiał, ale jeden z twórców modów do gry próbował przemycić do oficjalnego sklepu backdoora. Przyjrzeliśmy się temu interesującemu przypadkowi, czyli potencjalnie poważnemu ataku na graczy.
Podstawowe informacje o grze „Cities: Skylines”
„Cities: Skylines” to symulator miasta, który wygląda mniej więcej tak:
Wspomniana gra jest konkurentem i w pewnym sensie następcą słynnej serii „SimCity” z lat 1990. i 2000. Została ona wydana w 2015 roku — dość dawno temu jak na standardy ciągle zmieniającego się świata wirtualnego.
Zamiast wypuszczać nową serię, jej twórcy woleli stopniowo modyfikować oryginał, wydając oficjalne dodatki mniej więcej co pół roku. Trzynaste wydanie ukazało się niedawno, a każde z rozszerzeń dodaje nowe elementy do wirtualnego świata — np. budynki (które umożliwiają zbudowanie lotniska wg własnego projektu), zjawiska naturalne, scenariusze rozwoju („zielone” miasto) i tak dalej.
Nieoficjalne modyfikacje jeszcze bardziej rozbudowują grę. W rzeczywistości każdy, kto naprawdę polubi grać w „Cities: Skylines”, w końcu zacznie eksperymentować z modami. Pierwotnie celem gry miało być ułatwienie użytkownikom tworzenie i udostępnianie modyfikacji. Każda osoba może przesłać swoje prace do publicznego katalogu Warsztatu Steam.
Dzięki modom i dodatkom „Cities: Skylines” pozwala budować własne miasto. Spróbuj rozdysponować ziemię na część mieszkalną, przemysłową i handlową. Planuj drogi i eliminuj korki. Gra jest tak dobra i tak realistyczna, że została nawet wykorzystana do zaplanowania systemu transportu w prawdziwym mieście!
Przykładem dobrego moda dla „Cities: Skylines” jest Traffic Manager: President Edition. Rozszerza on podstawowe funkcje związane z budową dróg: sygnalizacją świetlną, ustaleniem kierunku pasa ruchu i ograniczeniem prędkości, wprowadzeniem zakazu parkowania itd. Zasadniczo taki mod umożliwia robienie rzeczy, które są niezbędne do poprawy ruchu — zarówno w prawdziwym życiu, jak i w grze.
Podsumowując, w grę „Cities: Skylines” można grać bez rozszerzeń, ale niewiele osób się na to decyduje, ponieważ odpowiednio dobrany zestaw modów znacząco zwiększa frajdę, ale też wygodę. Krótko mówiąc, umożliwiają one wykorzystanie gry w pełni.
Mody zemsty
Przejdźmy teraz bezpośrednio do wydarzeń. 10 lutego 2022 roku twórcy wspomnianego moda „Traffic Manager: President Edition” opublikowali ostrzeżenie o pojawieniu się szkodliwych rozszerzeń do gry:
Szkodliwa funkcjonalność była stosunkowo niegroźna: rozszerzenie losowo zmieniało w grze ograniczenia prędkości na drogach. Jednak nie dotyczyło to wszystkich użytkowników, ale tylko tych, którzy znaleźli się na specjalnej liście twórcy tego moda. Wśród nich byli: twórcy moda Traffic Manager, twórcy gry i inne osoby, w odniesieniu do których autor listy miał zasłużone lub bezpodstawne żale.
Ale to nie wszystko. W tym samym poście twórca moda, znany pod pseudonimem Chaos lub Holy Water, celowo uniemożliwiał kompatybilność z innymi modami. Ponieważ do opisywanej tu gry dostępna jest ogromna liczba modyfikacji, potrzebny jest mechanizm, który zapobiega wystąpieniu błędów. Twórcy gry zdecydowali się na bardzo prostą kontrolę zgodności: oczekują, że twórcy modów sami sprawdzą wszystko, a niekompatybilne rozszerzenia dodadzą do specjalnej listy. Chaos/Holy Water wykorzystał tę funkcję i zaczął dodawać inne popularne rozszerzenia do listy niekompatybilności z jego modami.
Kiedy użytkownicy pytali go, dlaczego dany mod jest niekompatybilny z innymi rozszerzeniami i co z tym faktem można zrobić, człowiek ten stwierdzał, że kod od innych programistów jest niskiej jakości i oferował własną wersję innego rozszerzenia, nieznacznie modyfikując oryginał. W ten sposób Chaos starał się spopularyzować swoje modyfikacje i zwiększyć liczbę własnych dodatków dla każdego użytkownika.
Natomiast gdy sam został skrytykowany, mścił się, dodając identyfikatory krytyków na platformie Steam do swojej osobistej „listy wrogów”, co doprowadzało do znaczącego obniżenia wydajności gry. Część fanów mocno to przeżywała, ale ogólnie sytuacji tej nie można było nazwać prawdziwym szkodliwym atakiem. Jednak to nie wszystko!
Stuprocentowy backdoor
14 lutego 2022 roku twórcy gry „Cities: Skylines” opisali incydent w internecie. Według nich rozszerzenia autora zostały usunięte ze strony Warsztatu Steam. Twórcy gry twierdzą, że nie było w nich szkodliwego kodu („Nie znaleziono keyloggerów, wirusów, oprogramowania do generowania kryptowalut itp.”. Jednak w dalszej części tekstu znajduje się krótka wzmianka o rozszerzeniu „Update from GitHub” autorstwa tego samego autora. Co robił ten mod? Przełączał mechanizm aktualizacji dodatku ze standardowego (poprzez Warsztat Steam) na alternatywny, dzięki czemu mody były aktualizowane bezpośrednio z repozytorium twórcy na GitHubie.
I to jest prawdziwy backdoor: na urządzenia użytkowników, którzy zainstalowali tę i kilka innych modyfikacji tego twórcy, można było w każdej chwili pobrać dowolny kod i uruchomić go. W takiej sytuacji można polegać tylko na sumieniu twórcy rozszerzenia (chociaż biorąc pod uwagę „listę wrogów”, najwyraźniej nie jest to dobry pomysł).
Nawet jeśli twórca backdoora nie planuje włamać się do urządzeń użytkowników swoich modów, może ukraść dostęp do ich kont w serwisie GitHub lub sprzedać je (jak to często bywa np. z rozszerzeniami przeglądarki). A jeśli mod jest już zainstalowany, użytkownik najprawdopodobniej musi usunąć go ręcznie — jednak nie wszyscy to zrobią. Na szczęście, jak twierdzą twórcy gry „Cities: Skylines”, tym razem sytuacja ta dotknęła tylko 50 osób.
Po czym rozpoznać niebezpieczne mody do gry?
Istnieje wiele sposobów, aby skłonić użytkownika do pobrania szkodliwego oprogramowania podszywającego się pod oficjalny program lub grę. Jednak w przypadku niestandardowych rozszerzeń sytuacja jest nieco bardziej skomplikowana: są one tworzone samodzielnie przez osoby prywatne, a twórca gry nie jest w stanie sprawdzać wszystkich modyfikacji. Dlatego podczas rozszerzania możliwości swojej ulubionej gry warto zachować czujność. Jeśli to możliwe, instaluj mody z oficjalnych źródeł. A jeśli twórca doradza, aby „w razie problemów wyłączyć antywirusa”, zastanów się dwa razy, zanim go posłuchasz.
Incydent z modami do gry „Cities: Skylines” zakończył się, na szczęście, bez większych strat. Złośliwy deweloper został zbanowany. I chociaż wygląda na to, że nie miał zamiaru wyrządzić poważnych szkód graczom, stworzył dość złożony mechanizm przedostawania się na komputery użytkowników, który wykorzystywał specyfikę społeczności. A co najważniejsze, starał się usunąć użytkowników z kontroli zapewnianej przez oficjalną platformę do dystrybucji modów.
W najgorszym przypadku taki backdoor mógłby zostać wykorzystany do dostarczenia szkodliwego kodu, który mógłby na przykład kraść hasła z usługi z grami lub generować kryptowalutę na komputerze gracza. Śledzenie aktywności takich „programów zmiennokształtnych” jest standardową funkcjonalnością każdego niezawodnego rozwiązania bezpieczeństwa. Ponadto Kaspersky Total Security oferuje specjalny tryb gracza, który zapewnia ochronę przy minimalnym wpływie na wydajność komputera. Eksperymentując z ulubioną grą, nie zapomnij o zachowaniu środków ostrożności.