一周海外安全事件回顾(9.29-10.05):黑客与游戏的恩怨

在上周,一个专门以游戏公司为目标的黑客团伙在美国伏法。偷窃的软件列表中赫然包括美军方攻击直升机的训练程序。本期回顾将聚焦在黑客与游戏之间的恩恩怨怨。

在上周,一个跨国网络犯罪团伙在美国伏法。这个犯罪团伙由6个人组成,分别来自美国、加拿大和澳大利亚。这个团伙成员中,最大28岁,最小18岁,涉案金额达数亿美金。案件的特殊性还在于把美国国防部也牵扯到其中,使得FBI在办理此案时也称“压力重重”。

这个犯罪团伙的攻击对象主要是 游戏公司 ,包括 Epic, 暴雪(Blizzard),Valve和Zombie工作室(Zombie Studios) ,攻击目的是获得游戏软件,特别是抢在正式发布之前拿到程序。案件包括入侵Epic公司系统,获得其开发的“战争机器”(Gears of War)的最新版本,时间比给Epic的代理商微软/XBOX还要早。另一个案件是在暴雪发布“使命的召唤3”(Call of Duty: Modern Warfare 3)预售版软件之前,捷足先登获得了程序。

当然,引起美国政府重视的原因还不是这些游戏软件的失窃,而是美军方用于飞行员训练的长弓阿帕奇直升机模拟程序(AH-64D Apache Simulator)也在被窃的软件列表里。

“长弓阿帕奇直升机模拟程序”是专供美军方使用的模拟训练软件,是由Zombie工作室(Zombie Studios)为美阿帕奇攻击直升机飞行员量身定做。说到Zombie工作室,想必喜欢射击类游戏的朋友对其在2010年开发的第一视角射击游戏黑光(Blacklight)和今年开发的号称首个虚拟引擎4的曙光(Daylight)应该不陌生。事实上,国内玩家非常熟悉的三角洲特种部队(Delta Force)以及彩虹六号(Rainbow Six)两款著名射击游戏的开发团队中,也可以找到Zombie工作室的名字。

就是这样一款机密的军方训练软件,竟然也被这帮人偷了,不知道是真的当成游戏软件了,还是就是奔着军方系统去的——毕竟有“美军专供”这个背景应该可以卖个不错的价钱。

谈到黑客对游戏网络的入侵,首先来说,非常遗憾的是,迄今还没有看到一份全面的分析报告,无论是站在攻击者的角度,还是防护一方的角度上。我想,造成这种结果在很大程度上恰恰由于游戏业务的特殊性。

游戏公司不象金融、政府、运营商等行业,很难作为一个独立的群体抽象出一个具有行业性质的特点和共性。攻击者攻击游戏网络,目的是多样的;或者说,和攻击其他非游戏公司目标没有太多的不同。从攻击手段上来看,也相对单一,大多数攻击游戏公司的方式是DDoS。这也可以理解,游戏特别是网络游戏,可用性是压倒一切的基本诉求。

笔者打算从攻击者的角度,从动机和目的出发,把对游戏网络的攻击做一个分类。这个分类很可能不全面甚至不准确,大家权且一看,我这也算是抛砖引玉了。

从攻击者的动机上出发,对游戏网络的攻击基本可以分为五类:

下面我们逐个来谈谈。

敲诈勒索

从字面不难理解,就是以攻击作为威胁,给钱就不打,不给钱就打。这很像收保护费,大家总在说“网络黑涩会”,很大程度上就是因为这个。

一个好的游戏一般都很挣钱,游戏的连续性和可用性至关重要,停个把小时都受不了,更不要说一天甚至几天。这样的对象面对网络攻击的反抗能力往往是脆弱的,也是“网络黑涩会”敲诈的主要对象。这个大家都很清楚,这里不再赘述。

打击报复

“打击报复”的说法可能并不太准确,更多的含义是出于商业竞争的目的,攻击竞争对手的游戏服务器,破坏对手业务的正常运营,从而达到攫取对方玩家以至于取得更多市场份额的目的。

持此类目的的攻击在私服界尤为普遍。本来你自家的私服开的好好的,不知道从哪儿冒出来一个新私服,玩游戏送游戏币和经验,晚上还有妹子在游戏里唱歌。这下好,一下子附近几个县城的玩家都跑去玩了。你在愤恨之余,买凶“杀人”的想法也博然而生。花几百块钱买点DDoS流量干死那个服务器可能是最现实的报复手段。

对游戏竞争对手的DDoS攻击在天朝屡有发生。当然,事情不能太过,做人要厚道。本来也就是打个服务器,要是把DNS这样的基础设施也牵扯进来,几十G上百G流量打出去,让几个省的互联网用户都上不了网,那就不好收场了。

黑客主义

黑客主义的代表非Lulzsec和Anonymous莫属。抱着黑客主义的态度对游戏公司攻击的众多事件中,最著名的案例莫过于LulzSec在2011年6月对 SONY PlayStation Network的DDoS攻击。黑客主义就是宣扬互联网自由和反监控。单纯的黑客主义并不是趋利的,不以盈利为目的,而是通过制造震撼性安全事件表达自己的观点和好恶。

笔者不对黑客主义本身做评价,单就从攻击游戏网络这个行为来说,倒是不予认可的。很多玩家在游戏里投入了大量时间和金钱,倾注了几乎全部的个人情感,攻击游戏网络导致玩家无法参与游戏,损失最大的还是玩家。

一度LulzSec称攻击游戏网络是只为了好玩(LoL),其实尼玛除了打攻击的之外,这个星球上很可能再没有别的人觉得这事儿真的好玩儿。

盗版

从价值上来判断,盗版可能是对游戏公司诸多攻击行为中损害最为巨大的——攻击者的目标往往是游戏商马上就要发布的版本,甚至是游戏的源代码。

很多朋友对ThreatGroup-3279小组 (缩写:TG-3279)可能并不太熟悉,但是TG-3279在暴力破解攻击方面是非常强悍的。在DellSecureWorks Counter Threat Unit (简称 CTU团队)今年7月份发布的安全报告里对TG-3279这个组织有着非常有趣的描述。TG-3279的主要攻击目标就是游戏公司,他们的动机也非常简单——获取源代码。拿到源代码之后,可以发挥的地方就很多了。盗版,再打包都是可以的。TG-3279的两款工具很有特点,一个是名为“S”的扫描器,另一个是名为“rdp_crk”的用来发起RDP攻击的暴破工具。

说到盗版,就不能不提破解,这是一枚硬币的两个面儿。据CTU称,他们有足够对证据证明TG-3279和破解组织有着千丝万缕对联系,其中就包括在天朝非常著名的破解组织—— China Cracking Group(中国破解联盟) 。

前文提到的偷窃阿帕奇直升机训练程序的攻击行为也势必和破解有关。这是一个三天也讲不完的话题,这里打住。

信息窃取

以信息窃取为目的的攻击无论从手段还是从目的上来说各不相同,但是最终的目标基本都是趋利的。在卡巴斯基去年公布的对游戏行业长达一年的调查结果中,通过入侵游戏服务器或相关系统获取用户隐私的案例不胜枚举。

其中,入侵游戏更新服务器是比较常见的手段。篡改更新包,把远程木马(RAT)放进去,但凡下载的人都会中招。之后远程进入用户的计算机,能拿的都拿走。还可以把计算机变成僵尸,用来打DDoS,物尽其用。2013年EA公司就遭到黑客的入侵,服务器上被种了马,4000万游戏玩家计算机受到影响。

还有一种比较常见的攻击方式是直接入侵网站,把用户资料下载下来,然后拿去销售。去年育碧公司(Ubisoft)网站被黑,攻击者盗取了大量玩家

用户的账号、密码和联系电子邮件等私密信息。任天堂(Nintendo)也遭受过类似的攻击。黑客通过获得的用户信息尝试 Wii U游戏的登录,1500万次尝试中,最终确认成功登录的有近24000次。

上文洋洋洒洒说了很多黑客攻击游戏的事件及其分析,其中不乏笔者主观的东西。没办法,毕竟收集到的资料太纷杂,不成体系,也没有太多可供参考的总结性报告。

笔者认为,黑客和游戏公司之间的恩怨还是蛮有意思的,很值得深入研究。游戏网络是人的网络,是由成千上万玩家组成的网络;同时,黑客大多也玩游戏。这也可能使得游戏有一种天然的“自愈力“甚至是“免疫力“。黑客在对一些大型游戏网络攻击之前也要掂量掂量可能造成的后果。此前发生过被攻击游戏服务器上的黑客玩家反击攻击者的事件。攻击者本身也是游戏的消费者甚至拥趸,这就造成了一种非常“奇葩”的现象:虽然对游戏的攻击每天都在发生,对游戏服务器的攻击也时常爆出天量,但是无论是攻击的一方还是被攻击的一方倒也“心平气和”。打就打了吧,最后大不了谁也别玩儿。

哎,人生本来就是一场游戏。何必和自己过不去呢?