台湾平均每天有100万人次上线的热门线上游戏英雄联盟(LOL),以及其他2款由游戏代理商Garena代理的线上游戏:流亡黯道和FIFA Online3,在2014年11月中旬~12月下旬时,被发现该公司数位签章遭窃,导致该公司在官网上供玩家下载的游戏程序被黑客加料,除正常游戏档案外还免费赠送一个水军常用的恶意程序PlugX。
台服代理商发布被黑客入侵公告
台湾资料安全社群HITCON以及台湾漏洞回报公益平台共同揭露这样的被黑讯息,台湾Garena除了在2014年12月31日在官网上正式公开道歉,并允诺提供玩家可以下载一套F-Secure正版杀毒软件之外,目前也已经在新的服务器上,完成所有被黑游戏程序的更新。有资料安全疑虑的玩家,可以直接在官网重新下载游戏程序,也可以使用趋势科技提供的免费清除工具进行扫描。
包括英雄联盟在内,有3款线上游戏档案被黑客加料
资料安全研究员也是英雄联盟玩家Kenny,日前在HITCON Free Talk的场合中表示,一般而言,玩家下载游戏程序管道有2种,一种是透过官网下载器从游戏原厂的云端服务下载游戏程序,另外一种则是从官网直接下载。此次发现英雄联盟下载的游戏被加料的版本,则是从官网直接下载的版本。
将英雄联盟加料的恶意程序上传VirusTotal则发现,早在2014年11月11日,就已经有人将该版本的恶意程序上传测试,到11月12日则发现一个最早的黑客中继站域名解析记录;由Garana代理的另外一款游戏流亡黯道的游戏也同样被黑客加料,在11月21日就发现有人将该恶意程序同样上传VirusTotal进行测试。Kenny表示,上传Virustotal是黑客和资料安全研究员都会做的事情,就是想测试,市面上既有的杀毒软件是否可以顺利侦测到该恶意程序。
一直到12月2日,有玩家在PPT上张贴被杀毒软件360侦测到有恶意程序;12月3日则被卡巴斯基侦测到有恶意程序,但官方客服中心的回复都是「没有中毒」、「没有被植入恶意程序」。到12月21日则有玩家公布Virustotal扫毒结果,代理商Garena则在12月23日更新程序,但大陆水军所使用的后门程序还存在。12月29日更新的档案才是正常版,但是,FIFA Online3的程序,到1月5日由台湾漏洞回报公益平台测试后,该款游戏还没有更新成无毒的正常程序。
从第一个上传英雄联盟游戏的恶意程序到VirusTotal,到台湾Garena发布资料安全公告,这一个多月的过程中,并不清楚有多少玩家陆续下载这个加料的游戏软件,但是,在台湾的代理商没有办法解决玩家所面临的资料安全疑虑,也是造成玩家权益未能获得保障的重要原因。
而在台湾漏洞回报公益平台中,也有白帽黑客揭露Garena供玩家下载的3款游戏遭骇,提报该漏洞的资料安全研究员Kenny到1月13日晚上也更新后续进度。目前英雄联盟、流亡黯道和FIFA Online 3的数位签章,都已经各自换成没有后门的数位签章,但他特别提醒,「恶意程序签署的2014.9.25数位签章依然有效」,目前在VirusTotal上已有17家防毒厂商可侦测到恶意程序,业者应该重新申请数位签章。
游戏档内含水军常用恶意程序,手法难以察觉
这个过程中,资料安全业者台湾威瑞特(Verint)资料安全研究长丛培侃表示,他们在12月17日在其政府部门的客户电脑中发现,有员工下载流亡黯道的游戏软件,并持续连线到恶意的中继站,包括:gs2.playdr2.tw、gs3.playdr2.tw、gs4.playdr2.tw,也对应到2个IP:192.126.118.198及202.65.214.220,分别在香港和洛杉矶。进一步研究则发现,这个游戏被加料的恶意程序,是过往常见于大陆水军所使用的恶意程序PlugX总共有三型中的第一型(Type 1)。
丛培侃表示,这个恶意程序PlugX非常先进,不仅是走Http通讯协定,利用的手法都是直接修改系统的程序,只有少部分是不正常的系统程序,因此很难被察觉,此次,黑客便利用Dll Path Hijacking(Dll路径挟持)攻击手法,利用载入Dll不同优先顺序的技巧,将恶意程序隐藏在正常的程序中。
此外,该恶意程序则绕过UAC(使用者帐号控制)功能,让电脑系统不会提醒使用者有任何软件安装或系统调整。再者,PlugX支援包括TCP、UDP和ICMP等通讯埠,防火墙根本难以阻挡;除了有键盘侧录功能,还加上具备许多远多遥控功能,包括连线(Connection)、传档(File)、撷取(Capture)、下指令(Cmd)、设定(Registry)、启动服务(Service)和启动程序(Process)等功能。目前PlugX常见于亚洲和美国。
黑客锁定游戏业者发动攻击,大型网游业者都被黑
这个恶意程序虽然常见于水军中,但连线的中继站IP位址,却可以从资料安全公司Command Five在2011年9月发布的一份资料安全报告中可以发现关连性;卡巴斯基在2013年4月则将该恶意程序命名为Winnti,主要是有一群专门针对游戏产业攻击的黑客组织,会将PlugX(或称Winnti)设法植入各个游戏公司的电脑中。就目前所知,韩国每一间线上游戏业者,都曾经严重被黑,其他被黑游戏业者的国家还包括:大陆、俄罗斯、白俄罗斯、德国、美国、巴西、祕鲁、印尼、泰国、越南、台湾和日本等国。
资料安全公司Team T5资料安全研究员戴辰宇分析这次的恶意程序对企业造成的损害,包括:偷取游戏原始码;偷取数位签章,将恶意程序签章成为合法程序;偷取虚拟货币宝物;偷取玩家个资;以及将线上游戏更新程序,内建一个恶意程序。除了偷取虚拟宝物的意图不明显,其他都可以沾得上边,尤其是,将游戏的更新程序綑绑一个恶意程序供玩家下载,更是此次新的攻击手法。
不过,侦办网路与数位犯罪的警察单位表示,从许多「游戏私服」的存在,就可以看出,许多游戏业者的资料安全防护不足,导致许多线上游戏的原始码,早已经外洩。而他也说,许多游戏原厂会针对各国不同的语系,释出不同语系的游戏原始码档案给代理商,不仅原厂游戏原始码有外洩的风险,许多台湾游戏代理商也有外洩正体中文语系游戏原始码的风险。
他指出,在2014年,台湾就有某家游戏业者私底下「咨询」过,外洩游戏原始码后的因应对策。该名警官表示,许多游戏业者被黑后,往往都不敢报案,但更关键的问题在于,这些游戏业者连基本的Log收集都没有,即使报案,警方和资料安全公司也都无力提供协助。
类似APT被黑事件,不应该当做中毒事件处理
台湾威瑞特(Verint)技术长邱铭彰表示,Garena刚开始因为没有意识到事态严重而疏于处理,但随着揭露的讯息越来越多,该公司包含新加坡的技术人员,也都紧急飞来台湾协助更新游戏程序,并试图找出问题所在。「愿意正面面对资料安全议题,就值得肯定。」他说。
Garena也在官方网站指出,在确认问题后,Garana透过第三方网路安全公司协助进行全公司扫描,除了清除已知威胁,并将有问题的档案,重新将游戏档案安装在新的服务器中并上架,提供玩家下载使用。事件过后,Garana也表示,目前除了强化员工的资料安全训练,也会改善提供玩家档案的流程,并将透过第三方资料安全公司合作,杜绝类似问题再度发生。
不过,邱铭彰特别提醒,这次的游戏下档被植入水军常用的恶意程序,虽然有可能是某个特别锁定游戏产业的黑客组织所发动的攻击行为,但他认为,面对这种类似APT的攻击威胁时,被黑企业都不应该当做一般的病毒攻击事件来解决,应该要第一时间提高应有的防护层级,后续也应该建立单一的资料安全事件通报窗口,避免此次威瑞特想要通报Garena遇到的资料安全事件时,无法顺利找到适当的通报窗口。
而台湾趋势科技免费恶意程序清理工具Trend Micro Clean Tool,也针对PlugX更新相关的病毒码,供玩家免费使用。
线上游戏代理商Garena在去年11~12月中,发生总共3款游戏,因为数位签章遭窃,导致供玩家下载的游戏档案,被植入水军常用恶意程序PlugX。多位资料安全研究专家日前也在HITCON Free Talk的场次中,分享该起事件的攻击手法和可能的影响。