„GodLoader“ kenkėjiška programa
Populiarus atvirojo kodo Godot Engine, įrankis, plačiai naudojamas kuriant 2D ir 3D žaidimus, tapo naujos kibernetinės grėsmės, žinomos kaip GodLoader kampanija, pagrindu. Mažiausiai nuo 2024 m. birželio mėn. ši grėsminga kampanija buvo pažeista daugiau nei 17 000 sistemų, išnaudodama platformos scenarijų sudarymo galimybes žalingam kodui vykdyti.
Turinys
Patikimas įrankis, paverstas grėsmės vektoriumi
„Godot Engine“ universalumas, palaikantis „Windows“, „MacOS“, „Linux“, „Android“, „iOS“ ir svarbių žaidimų pultų kūrimą, taip pat padarė jį patraukliu įrankiu kibernetiniams nusikaltėliams. Pasitelkę Godot lankstumą, užpuolikai įterpia sugadintą GDScript kodą į pasirinktinius vykdomuosius failus, kad paleistų kenkėjiškas programas, apeidami beveik visus apsaugos nuo kenkėjiškų programų aptikimo mechanizmus. Ši kampanija pabrėžia, kaip patikimi atvirojo kodo įrankiai gali būti ginkluoti prieš naudotojus.
1,2 milijono asmenų, kurie sąveikauja su žaidimais, sukurtais naudojant Godot, gali turėti įtakos ne tik asmeninio įrenginio saugumui, bet ir galimai žalai platesnei žaidimų ekosistemai. Tai pabrėžia, kad kūrėjai ir pramonė turi imtis iniciatyvių kibernetinio saugumo priemonių visose platformose.
Kaip veikia GodLoader: įvairiapusė platinimo strategija
Šią kampaniją išskiria sudėtingas „GitHub“ naudojimas kaip platinimo vektorius. Užpuolikai naudoja „Stargazers Ghost Network“, kurį sudaro maždaug 200 „GitHub“ saugyklų ir daugiau nei 225 apgaulingos paskyros. Šiose paskyrose apgaulingos saugyklos „pažymėtos žvaigždute“, todėl nieko neįtariantiems vartotojams jos atrodo teisėtos.
Kampanija vyko keturiomis skirtingomis bangomis – 2024 m. rugsėjo 12 d., rugsėjo 14 d., rugsėjo 29 d. ir spalio 3 d. – skirta kūrėjams, žaidėjams ir bendriesiems vartotojams. Kiekvienos atakos metu „Godot Engine“ vykdomieji failai (.PCK failai) yra diegiami „GodLoader“ kenkėjiškajai programai įdiegti. Tada šis įkroviklis iš Bitbucket saugyklos nuskaito galutines naudingąsias apkrovas, pvz., „ RedLine Stealer“ ir „ XMRig “ kriptovaliutų kasyklą.
Išplėstinė vengimo taktika: vengimo aptikimas
„GodLoader“ sėkmė siejama su pažangiais vengimo būdais. Jis apeina virtualią aplinką ir smėlio dėžės analizę, efektyviai išjungdamas aptikimą kontroliuojamoje saugos aplinkoje. Be to, kenkėjiška programa manipuliuoja „Microsoft Defender Antivirus“, įtraukdama visą C:\ diską į išimčių sąrašą, užtikrindama, kad jos veikla užkrėstose sistemose liktų neaptikta.
Nors dabartinė kampanija skirta „Windows“ įrenginiams, mokslininkai perspėja, kad ją galima nesunkiai pritaikyti „MacOS“ ir „Linux“ sistemoms. „Godot“ platformos agnostinė architektūra leidžia užpuolikams kurti naudingąsias apkrovas kelioms operacinėms sistemoms, o tai žymiai padidina kampanijos pasiekiamumą ir poveikį.
Didesnio išnaudojimo potencialas
Užpuolikai pirmiausia naudojo specialiai sukurtas Godot vykdomąsias programas kenkėjiškoms programoms platinti. Tačiau mokslininkai perspėja apie dar didesnę grėsmę: teisėtų Godot sukurtų žaidimų klastojimą. Įsigiję simetrinį šifravimo raktą, naudojamą PCK failams išgauti, kibernetiniai nusikaltėliai gali manipuliuoti autentiškais žaidimų failais, kad pateiktų kenksmingus krovinius.
Perėjimas prie asimetrinio rakto kriptografijos, kai šifravimui ir iššifravimui naudojamos viešųjų ir privačių raktų poros, galėtų sumažinti tokią riziką. Taikant šį metodą, užpuolikams būtų daug sunkiau pažeisti teisėtą programinę įrangą.
Godot saugumo komandos atsakymas
Atsižvelgdama į šias išvadas, Godot saugumo komanda pabrėžė, kaip svarbu atsisiųsti vykdomuosius failus tik iš patikimų šaltinių. Jie paragino vartotojus užtikrinti, kad failus pasirašytų patikimas subjektas, ir vengti naudoti nulaužtą ar nepatvirtintą programinę įrangą. Nors bet kokia programavimo kalba gali būti naudojama kuriant kenkėjišką programinę įrangą, Godot scenarijų kūrimo galimybės nėra nei daugiau, nei mažiau jautrios piktnaudžiavimui, palyginti su panašiomis platformomis, tokiomis kaip Python ar Ruby.
Platesnės pasekmės: pasitikėjimas ir budrumas
„GodLoader“ kampanija parodo, kaip užpuolikai išnaudoja teisėtas platformas, kad apeitų saugos kontrolę ir platintų grėsmingą programinę įrangą. „Godot“ architektūra įgalina nuo platformos nepriklausomą naudingosios apkrovos pristatymą, todėl kibernetiniai nusikaltėliai gali efektyviai taikyti įrenginius įvairiose operacinėse sistemose, įskaitant „Windows“, „Linux“ ir „MacOS“.
Kampanija, kurią sudaro labai tikslingas platinimo tinklas ir slapti pristatymo mechanizmai, sukėlė plačiai paplitusias infekcijas, todėl tai yra didžiulis įrankis užpuolikų arsenale. Ši situacija yra blaivus priminimas vartotojams būti atsargiems ir atsisiųsti programinę įrangą tik iš patikrintų šaltinių.
Kvietimas siekti stipresnio kibernetinio saugumo
„GodLoader“ kampanija ir toliau vystosi, ji yra programinės įrangos kūrimo ir žaidimų pramonės pažadinimo skambutis. Norint sumažinti tokią riziką, būtinos patikimos saugos priemonės, kelių platformų grėsmių aptikimo įrankiai ir šifravimo pažanga. Teikdama pirmenybę kibernetiniam saugumui kiekviename etape – nuo kūrimo iki diegimo – pramonė gali sumažinti tikimybę, kad panašios grėsmės pakenks vartotojų pasitikėjimui ir saugumui.
