台湾平均每天有100万人次上线的热门线上游戏英雄联盟(LOL),以及其他2款由游戏代理商Garena代理的线上游戏:流亡黯道和FIFA Online3,在2014年11月中旬~12月下旬时,被发现该公司数位签章遭窃,导致该公司在官网上供玩家下载的游戏程式被骇客加料,除正常游戏档案外还免费赠送一个网军常用的恶意程式PlugX。
台湾资安社群HITCON以及台湾漏洞回报公益平台共同揭露这样的受骇讯息,台湾Garena除了在2014年12月31日在官网上正式公开道歉,并允诺提供玩家可以下载一套F-Secure正版防毒软件之外,目前也已经在新的服务器上,完成所有受骇游戏程式的更新。有资安疑虑的玩家,可以直接在官网重新下载游戏程式,也可以使用趋势科技提供的免费清除工具进行扫描。
包括英雄联盟在内,有3款线上游戏档案被骇客加料
资安研究员也是英雄联盟玩家Kenny,日前在HITCON Free Talk的场合中表示,一般而言,玩家下载游戏程式管道有2种,一种是透过官网下载器从游戏原厂的云端服务下载游戏程式,另外一种则是从官网直接下载。此次发现英雄联盟下载的游戏被加料的版本,则是从官网直接下载的版本。
将英雄联盟加料的恶意程式上传VirusTotal则发现,早在2014年11月11日,就已经有人将该版本的恶意程式上传测试,到11月12日则发现一个最早的骇客中继站域名解析记录;由Garana代理的另外一款游戏流亡黯道的游戏也同样被骇客加料,在11月21日就发现有人将该恶意程式同样上传VirusTotal进行测试。Kenny表示,上传Virustotal是骇客和资安研究员都会做的事情,就是想测试,市面上既有的防毒软件是否可以顺利侦测到该恶意程式。
一直到12月2日,有玩家在PPT上张贴被中国防毒软件360侦测到有恶意程式;12月3日则被卡巴斯基侦测到有恶意程式,但官方客服中心的回复都是“没有中毒”、“没有被植入恶意程式”。到12月21日则有玩家公布Virustotal扫毒结果,代理商Garena则在12月23日更新程式,但中国网军所使用的后门程式还存在。12月29日更新的档案才是正常版,但是,FIFA Online3的程式,到1月5日由台湾漏洞回报公益平台测试后,该款游戏还没有更新成无毒的正常程式。
从第一个上传英雄联盟游戏的恶意程式到VirusTotal,到台湾Garena发布资安公告,这一个多月的过程中,并不清楚有多少玩家陆续下载这个加料的游戏软件,但是,在台湾的代理商没有办法解决玩家所面临的资安疑虑,也是造成玩家权益未能获得保障的重要原因。
而在台湾漏洞回报公益平台中,也有白帽骇客揭露Garena供玩家下载的3款游戏遭骇,提报该漏洞的资安研究员Kenny到1月13日晚上也更新后续进度。目前英雄联盟、流亡黯道和FIFA Online 3的数位签章,都已经各自换成没有后门的数位签章,但他特别提醒,“恶意程式签署的2014.9.25数位签章依然有效”,目前在VirusTotal上已有17家防毒厂商可侦测到恶意程式,业者应该重新申请数位签章。
游戏档内含网军常用恶意程式,手法难以察觉
这个过程中,资安业者台湾威瑞特(Verint)资安研究长丛培侃表示,他们在12月17日在其政府部门的客户电脑中发现,有员工下载流亡黯道的游戏软件,并持续连线到恶意的中继站,包括:gs2.playdr2.tw、gs3.playdr2.tw、gs4.playdr2.tw,也对应到2个IP:192.126.118.198及202.65.214.220,分别在香港和洛杉矶。进一步研究则发现,这个游戏被加料的恶意程式,是过往常见于中国网军所使用的恶意程式PlugX总共有三型中的第一型(Type 1)。
丛培侃表示,这个恶意程式PlugX非常先进,不仅是走Http通讯协定,利用的手法都是直接修改系统的程式,只有少部分是不正常的系统程式,因此很难被察觉,此次,骇客便利用Dll Path Hijacking(Dll路径挟持)攻击手法,利用载入Dll不同优先级的技巧,将恶意程式隐藏在正常的程式中。
此外,该恶意程式则绕过UAC(使用者账号控制)功能,让电脑系统不会提醒使用者有任何软件安装或系统调整。再者,PlugX支援包括TCP、UDP和ICMP等通讯埠,防火墙根本难以阻挡;除了有键盘侧录功能,还加上具备许多远多遥控功能,包括连线(Connection)、传档(File)、撷取(Capture)、下指令(Cmd)、设定(Registry)、启动服务(Service)和启动程序(Process)等功能。目前PlugX常见于亚洲和美国。
骇客锁定游戏业者发动攻击,大型网游业者都受骇
这个恶意程式虽然常见于网军中,但连线的中继站IP地址,却可以从资安公司Command Five在2011年9月发布的一份资安报告中可以发现关连性;卡巴斯基在2013年4月则将该恶意程式命名为Winnti,主要是有一群专门针对游戏产业攻击的骇客组织,会将PlugX(或称Winnti)设法植入各个游戏公司的电脑中。就目前所知,韩国每一间线上游戏业者,都曾经严重受骇,其他受骇游戏业者的国家还包括:中国、俄罗斯、白俄罗斯、德国、美国、巴西、秘鲁、印尼、泰国、越南、台湾和日本等国。
资安研究员GD分析这次的恶意程式对企业造成的损害,包括:偷取游戏源代码;偷取数位签章,将恶意程式签章成为合法程式;偷取虚拟货币宝物;偷取玩家个资;以及将线上游戏更新程式,内建一个恶意程式。除了偷取虚拟宝物的意图不明显,其他都可以沾得上边,尤其是,将游戏的更新程式捆绑一个恶意程式供玩家下载,更是此次新的攻击手法。
不过,侦办网络与数位犯罪的警察单位表示,从许多“游戏私服”的存在,就可以看出,许多游戏业者的资安防护不足,导致许多线上游戏的源代码,早已经外泄。而他也说,许多游戏原厂会针对各国不同的语系,释出不同语系的游戏源代码档案给代理商,不仅原厂游戏源代码有外泄的风险,许多台湾游戏代理商也有外泄繁体中文语系游戏源代码的风险。
他指出,在2014年,台湾就有某家游戏业者私底下“咨询”过,外泄游戏源代码后的因应对策。该名警官表示,许多游戏业者受骇后,往往都不敢报案,但更关键的问题在于,这些游戏业者连基本的Log收集都没有,即使报案,警方和资安公司也都无力提供协助。
类似APT受骇事件,不应该当做中毒事件处理
台湾威瑞特(Verint)技术长邱铭彰表示,Garena刚开始因为没有意识到事态严重而疏于处理,但随着揭露的讯息越来越多,该公司包含新加坡的技术人员,也都紧急飞来台湾协助更新游戏程式,并试图找出问题所在。“愿意正面面对资安议题,就值得肯定。”他说。
Garena也在官方网站指出,在确认问题后,Garana透过第三方网络安全公司协助进行全公司扫描,除了清除已知威胁,并将有问题的档案,重新将游戏档案安装在新的服务器中并上架,提供玩家下载使用。事件过后,Garana也表示,目前除了强化员工的资安训练,也会改善提供玩家档案的流程,并将透过第三方资安公司合作,杜绝类似问题再度发生。
不过,邱铭彰特别提醒,这次的游戏下档被植入网军常用的恶意程式,虽然有可能是某个特别锁定游戏产业的骇客组织所发动的攻击行为,但他认为,面对这种类似APT的攻击威胁时,受骇企业都不应该当做一般的病毒攻击事件来解决,应该要第一时间提高应有的防护层级,后续也应该建立单一的资安事件通报窗口,避免此次威瑞特想要通报Garena遇到的资安事件时,无法顺利找到适当的通报窗口。
而台湾趋势科技免费恶意程式清理工具Trend Micro Clean Tool,也针对PlugX更新相关的病毒码,供玩家免费使用。
线上游戏代理商Garena在去年11~12月中,发生总共3款游戏,因为数位签章遭窃,导致供玩家下载的游戏档案,被植入网军常用恶意程式PlugX。多位资安研究专家日前也在HITCON Free Talk的场次中,分享该起事件的攻击手法和可能的影响。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09