Ransomware εκμεταλλεύεται προστασία anti-cheat γνωστού παιχνιδιού για να αποκτήσει full πρόσβαση στον Η/Υ

Το καλύτερο από όλα: Δεν χρειάζεται καν να έχετε εγκατεστημένο το εν λόγω παιχνίδι…

Εδώ και καιρό υπήρχε ανησυχία για τα anti-cheat modules που χρησιμοποιούν διάφορα παιχνίδια, μιας και οι πυρήνες αυτοί ουσιαστικά εγκαθίστανται στον βασικό πυρήνα του Η/Υ προκειμένου να διασφαλίσουν ότι κανένας … ζαβολιάρης δεν θα “κλέψει” στο παιχνίδι, αλλάζοντας -για παράδειγμα- τις παραμέτρους που θα του δίνουν μεγαλύτερη ευελιξία σε αντίθεση με άλλους παίκτες.

Κινδυνεύοντας να το θέσουμε πολύ -πάρα πολύ- απλά, οι anti-cheat πυρήνες έχουν στον Η/Υ σας περισσότερα “δικαιώματα” από ότι εσείς.

Ένα από αυτά τα παιχνίδια που χρησιμοποιεί τέτοιο πυρήνα είναι το πασίγνωστο RPG Genshin Impact. Ο πυρήνας αυτός χρησιμοποιήθηκε από κακοποιούς για να απενεργοποιηθεί το antivirus και να γίνει διασπορά Ransomware.

Στις 24/8/2022, η Trend Micro δημοσίευσε ένα πολύ ανησυχητικό whitepaper (μπορείτε να το βρείτε εδώ) στο οποίο περγράφει πώς χρησιμοποιήθηκε το απολύτως legit αρχείο mhyprot2.sys για να αποκτηθεί root πρόσβαση στον H/Y. Το ακόμα πιο ανησυχητικό της υπόθεσης, είναι ότι δεν χρειάστηκε να είναι εγκατεστημένο το Genshin Impact!

Με απλά λόγια, το αρχείο mhyprot2.sys μπορεί να ενσωματωθεί σε οποιοδήποτε malware και να κάνει τη “δουλειά” του.

Το whitepaper της TrendMicro ουσιαστικά κάνει σαφές ότι αυτό αποτελεί ξεκάθαρη παραβίαση της ασφάλειας όλου του λειτουργικού συστήματος των Windows, καθώς “το module δεν μπορεί να διαγραφεί μόλις εγκατασταθεί”. Κάνει, επίσης, σαφές ότι το ίδιο το αρχείο δεν είναι κακόβουλο, απλώς χρησιμοποιείται κακοβούλως.

Τέλος, το paper αναφέρει ότι το συγκεκριμένο module είναι “πανεύκολο να αποκτηθεί από τον οποιονδήποτε”, καθώς αποτελεί τμήμα λογισμικού που είναι 100% νόμιμο.

Να θυμίσουμε εδώ ότι δεν είναι η πρώτη φορά που ο cybersecurity κόσμος ανησυχεί για τον ίδιο λόγο. Τον Μάιο του 2020, δύο games της ίδιας εταιρίας (τα  Valorant και Doom Eternal της Riot Games) κυκλοφόρησαν με anti-cheat πυρήνες. Όταν υπήρξαν παράπονα από την cybersecurity κοινότητα, η Riot απάντησε ότι πολλά παιχνίδια κυκλοφορούν ήδη με anti-cheat πυρήνες. Όμως, κανένα μέχρι εκείνη τη στιγμή δεν “κλείδωνε” στο boot του Η/Υ, ξεκινώντας με την εκκίνηση του Η/Υ και τρέχοντας μόνιμα και παράλληλα.

Οι δημιουργοί του Genshin Impact, γνωστοί ως ΗοΥοVerse, έβγαλαν την ακόλουθη ανακοίνωση μετά την ανάδειξη του ζητήματος:
"The HoYoverse team takes information security very seriously. We're currently working on this case, and will find a solution as soon as possible to safeguard players' safety and stop potential abuse of the anti-cheat function. We will keep you posted once we have further progress."