Атака на Cities: Skylines — вредоносный код в виртуальном городе

Рассказываем о том, почему моды к играм могут быть опасны, на примере вредоносных модов для Cities: Skylines.

Почему моды к играм могут быть опасны — на примере вредоносных модов для Cities: Skylines

13 февраля 2022 года на сайте EuroGamer появилась заметка, сообщающая о распространении вредоносного кода среди пользователей игры Cities: Skylines. Через два дня статью обновили: никто не пострадал, но один из создателей модификаций к игре пытался протащить в официальный магазин бэкдор. Мы разобрались в этом интересном случае потенциально серьезной атаки на геймеров.

Немного о Cities: Skylines

Заранее приносим извинения фанатам игры, но для всех остальных считаем нужным дать ее краткое описание — это важно в контексте данной истории. Итак, Cities: Skylines — это симулятор города, и выглядит он примерно так:

Скриншот из игры Cities: Skylines

Скриншот из игры Cities: Skylines. Источник

Cities: Skylines — конкурент и в некотором роде преемник известной серии из 1990-х и 2000-х, SimCity, история которой (пока) закончилась неудачным релизом в 2013 году. Cities: Skylines была выпущена в 2015 году — достаточно давно по меркам постоянно меняющегося сетевого мира, но фанатов это вряд ли испугает.

Вместо выпуска полностью новых серий создатели Cities: Skylines предпочли подход с постепенным изменением оригинальной игры и где-то раз в полгода-год выпускают официальные дополнения к ней — недавно как раз вышло 13-е по счету. Каждое из таких дополнений добавляет в виртуальный мир новые элементы — это могут быть здания (теперь можно строить аэропорт собственного дизайна!), явления природы, сценарии развития («зеленый» город) и так далее.

Еще больше расширяют возможности игры неофициальные модификации. На самом деле любой игрок, всерьез полюбивший Cities: Skylines, рано или поздно начнет экспериментировать с пользовательскими модами. Без них не так интересно!

Игра изначально создана так, чтобы пользователям было удобно разрабатывать и делиться расширениями. Выкладывать расширения можно в общий каталог в сервисе Steam Workshop.

В любом виде Cities: Skylines позволяет вам строить собственный город. Разделять землю между жильем, промышленностью и коммерцией. Планировать дороги и бороться с пробками. Игра настолько хороша и настолько реалистична, что были случаи, когда ее использовали для планирования транспортной системы реального города!

Пример хорошего мода для Cities: Skylines — Traffic Manager: President Edition. Он добавляет к базовым возможностям дорожного строительства в игре тонкие настройки: можно управлять светофорами, задавать направление движения по полосам и скоростные ограничения, запрещать парковку и так далее. В общем, делать все то, что позволяет кардинально улучшить дорожную ситуацию — как в реальной жизни, так и в игре.

Если подытожить, то в Cities: Skylines, конечно, можно играть и без расширений, но среди поклонников игры мало кто так делает. Потому что правильно подобранный набор модов одновременно серьезно улучшает игровой процесс и делает игру удобнее. Если совсем коротко: хочешь получить полноценный опыт Cities: Skylines — ставь моды.

Моды мести

Теперь перейдем непосредственно к событиям. 10 февраля 2022 года создатели упомянутого выше мода Traffic Manager: President Edition опубликовали предупреждение о вредоносных расширениях для игры:

Создатели Traffic Manager: President Edition обвиняют автора других модов для Cities: Skylines в распространении вредоносного ПО

Cоздатели Traffic Manager: President Edition обвиняют автора других модов в распространении вредоносного ПО. Источник

Вредоносная функциональность была достаточно безобидная: расширение случайным образом изменяло ограничения скорости движения транспортных средств в самой игре. Причем не для всех пользователей, а только для тех, кому «повезло» оказаться в списке автора мода. Туда попали в том числе разработчики Traffic Manager, создатели самой игры и другие люди, к которым у составителя списка были реальные или воображаемые претензии.

Но это не все. Согласно тому же посту, автор модов, известный как Chaos или Holy Water, намеренно ломал совместимость с другими модами. Так как модификаций к Cities: Skylines огромное количество, потребовался механизм, исключающий сбои в работе игры. Проверка на совместимость очень простая: создатели игры ожидают от разработчика мода, что он сам все проверит, а несовместимые расширения добавит в специальный список. Chaos/Holy Water воспользовался этой фичей и начал добавлять чужие популярные расширения в список несовместимых.

Когда пользователи спрашивали его, почему мод несовместим с другими расширениями и что делать, автор ссылался на низкое качество кода у других разработчиков и предлагал собственную версию другого расширения — слегка измененный оригинал. Таким образом Chaos пытался увеличить количество пользователей своих модификаций и количество «своих» аддонов у каждого пользователя.

Если разработчика критиковали, он мстил: добавлял идентификаторы критиков на платформе Steam в свой персональный «список мести». Далее разработанные им моды вызывали произвольные баги в игре у «врагов» автора, попавших в этот список. Получилась интересная внутренняя драма среди активных игроков-фанатов, но не настолько серьезная, чтобы назвать ее настоящей вредоносной атакой. Но подождите, это еще не все!

Стопроцентный бэкдор

14 февраля 2022 года уже сами разработчики Cities: Skylines опубликовали свое описание инцидента. В нем сообщается, что расширения автора (и его виртуалов) были удалены с площадки Steam Workshop. Авторы игры настаивают, что вредоносного кода в них не было. Уточняя, что не было речи о «кейлоггерах, вирусах, ПО для майнинга криптовалют и подобного». Но дальше по тексту вскользь упоминается расширение Update from Github того же автора. А делало оно вот что: переключало механизм обновления аддонов со стандартного (через Steam Workshop) на альтернативный — напрямую из репозитория автора.

А ведь это самый настоящий бэкдор: на компьютер пользователей, установивших эту модификацию вместе с парой других того же автора, в любой момент может быть загружен и выполнен произвольный программный код. Остается только полагаться на сознательность автора расширения (учитывая «список мести», это явно плохая идея).

Даже если автор бэкдора не планирует взламывать пользователей своих модов, доступ к его аккаунту на сервисе Github могут украсть, или он сам может продать свой аккаунт (как это довольно часто происходит, например, с расширениями для браузеров). Наконец, если мод уже установлен, скорее всего, удалять его надо будет вручную — не у всех могут дойти до этого руки. К счастью, по данным разработчиков игры, расширение установили только 50 человек.

Как защититься от опасных модов для игр

Есть масса способов заставить пользователя загрузить вредоносное ПО под видом «официальной» программы или игры. Но с пользовательскими расширениями все еще сложнее: они по определению создаются «кустарным» способом, и разработчик при всем желании не может проконтролировать абсолютно все модификации. Расширяя возможности любимой игры, будьте осторожны. Старайтесь устанавливать моды из официальных источников, если такая возможность предусмотрена. А если автор мода вам советует «в случае проблем отключить антивирус», подумайте дважды, прежде чем так делать.

Инцидент с модами для Cities: Skylines закончился почти без последствий. Вредного разработчика забанили, и, кажется, у него не было умысла наносить игрокам серьезный ущерб. Но механизм проникновения на компьютеры пользователей он создал достаточно сложный, учитывающий особенности сообщества. А главное — попытался увести своих пользователей из-под контроля официальной площадки для распространения модов.

В наихудшем сценарии через собственный механизм обновления игрокам был бы доставлен вредоносный код, например для кражи паролей от игрового сервиса. Отслеживание активности подобных «программ-оборотней» — штатная функциональность любого качественного защитного решения. В Kaspersky Security Cloud также предусмотрен специальный игровой режим, в котором защита обеспечивает безопасность без падения производительности и не мешает играть. В общем, экспериментируя с любимой игрой, не забывайте о мерах предосторожности.

Советы