Важный вывод
Steam откровенно лжет, покрывает преступников и препятствует расследованию.
Введение: преступление, совершенное в результате преднамеренной халатности
В августе 2025 года крупнейшая в мире игровая платформа Steam не просто подверглась взлому, но и сама способствовала его возникновению. В результате целой череды системных сбоев и грубой халатности компания Valve позволила игре BlockBlasters (AppID 3872350) превратилось в «троянского коня» для разрушительной вредоносной кампании. Это не была сложная, неизбежная атака. Это была классическая операция по краже данных, которая увенчалась успехом из-за фундаментальных пробелов в системе безопасности Steam. В течение 22 дней злоумышленники похитили сотни тысяч долларов, опустошили криптовалютные кошельки и взломали учетные записи пользователей, в то время как Valve бездействовала.
Когда правда всплыла на поверхность, компания Valve отреагировала не тем, что стала защищать своих пользователей, а тем, что стала защищать свой имидж. Компания выпустила единственное, обманчивое заявление, в котором вину возложила на «взломанную учетную запись разработчика» — жалкую ложь, призванную переложить вину и оградить себя от ответственности. В этой статье мы развенчаем эту ложь. Используя данные экспертизы, анализ хронологии событий и собственные правила Valve, мы докажем, что этот инцидент был не просто бездействием, а преднамеренным сокрытием преступной халатности.
Раскрытая личность
Steam откровенно лжет и скрывает Валентина Лопеса — проверенного разработчика, стоящего за вредоносным приложением.
22-дневная хроника бездействия
У Valve было 22 дня, чтобы это предотвратить. Поступали многочисленные сообщения от пользователей, а данные платформы явно свидетельствовали о проблемах. Их молчание было сознательным решением.
Выходит игра BlockBlasters. Чистая и легальная версия прошла проверку в системе Steam.
Ловушка расставлена. Злоумышленники выпускают патч с номером 19799326. Это обновление, содержащее вредоносный код, проходит проверку в Steam и распространяется среди всех игроков.
Первые пострадавшие бьют тревогу. Пользователи заваливают службу поддержки Steam заявками, в которых сообщают о ненормальной загрузке процессора, подозрительном сетевом трафике и, что самое важное, о краже криптовалюты. Эти заявки попадают в черную дыру и игнорируются Valve.
Данные явно сигнализируют об опасности. Открытые телеметрические данные SteamDB показывают, что количество игроков сократилось до нескольких единиц, однако игра по-прежнему установлена на сотнях компьютеров и незаметно собирает данные. Этот огромный разрыв — явный сигнал тревоги, который должна была бы зафиксировать любая надежная система мониторинга.
Сообщество принимает меры. Независимые исследователи в области кибербезопасности раскрывают инфраструктуру управления вредоносным ПО, основанную на Telegram, что вынуждает хакеров пойти на уступки.
Доказательства неопровержимы. Компания G DATA CyberDefense AG опубликовала полный отчет о результатах экспертизы, в котором подтверждается многоэтапный вектор атаки вредоносного ПО и раскрываются технические детали инцидента.
Структура атаки
Это не было каким-то передовым вредоносным ПО. Это был примитивный, но действенный набор из распространенных скриптов и программ-крадец, которые для платформы с оборотом в миллиарды долларов должны были бы стать легкой добычей.
Этап 1: Первоначальное проникновение (game2.bat)
Первоначальный полезный груз, представлявший собой простой пакетный скрипт, выполнял базовую разведку: сбор данных об IP-адресах, геолокации и пользователях Steam. Затем он загрузил защищенный паролем ZIP-файл (v1.zip) — классический прием, позволяющий обойти простые автоматические сканеры.
Этап 2: Уклонение и эскалация (загрузчики VBS)
Используя скрипты VBS, вредоносная программа запускала свои основные компоненты в скрытых окнах командной строки. Она добавила свой собственный каталог в список исключений Microsoft Defender — действие, которое должно вызывать немедленное предупреждение с высоким приоритетом на любой отслеживаемой системе.
Этап 3: Кража данных (Client-built2.exe и Block1.exe)
После отключения средств защиты вредоносная программа запустила свои основные компоненты: бэкдор на языке Python для постоянного доступа и вариант программы-крадец данных StealC. Она была нацелена на данные браузеров, токены сеансов и, что наиболее важно, кошельки криптовалют в Chrome, Edge и Brave. Все похищенные данные передавались на два командно-контрольных сервера по незащищенному HTTP-трафику. Идентификаторы угрозы (IOC), связанные с программой-крадецом криптовалют, подтвердили, что Steam использовался в качестве канала распространения вредоносного ПО для организованных операций по краже данных.
Преданное доверие
Именно их авторитет и пренебрежительное отношение привели к десяткам краж, которые они пытаются скрыть. Это типичный пример атаки на цепочку поставок, в которой в широких масштабах злоупотребляется доверием к платформе.
Показатели взлома (IoC)
| Файл | Алгоритм безопасного хеширования 256 | Классификация |
|---|---|---|
game2.bat | aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3 | BAT.Trojan-Stealer.StimBlaster.F |
launch1.vbs | c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3 | Script.Malware.BatchRunner.A@ioc |
test.vbs | b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b | Script.Malware.BatchRunner.A@ioc |
Client-built2.exe | 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a | Win64.Backdoor.StimBlaster.L6WGC3 |
Block1.exe | 59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9e | Win32.Trojan-Stealer.StealC.RSZPXF |
Разоблачение лжи: история о «взломанном аккаунте» — полная чушь
Разоблачение заговора
Steam лжет и помогает жертвам, в то время как их компания проверяет разработчиков и присваивает их контенту высший сертификат доверия.
Давайте назовем оправдание Valve о «взломанном аккаунте разработчика» тем, чем оно является: жалкая и легко опровергаемая ложь. Это оскорбление интеллекта их пользователей — выдумка, придуманная для того, чтобы оградить их от последствий собственной халатности. Вся эта выдумка рушится, как только вы обратите внимание на обязательные процедуры, установленные самим Steam.
- «Барьер в 100 долларов» и проверка личности: Чтобы публиковать игры в Steam, каждый разработчик должен пройти процедуру Steam Direct. Это предполагает уплату взноса в размере 100 долларов и прохождение процедуры «Знай своего клиента» (KYC), в ходе которой необходимо предоставить официальные имена, банковские реквизиты и налоговые документы. Виновник не был анонимным призраком; у Valve в базе данных были его подтвержденные личные данные и финансовая информация. Это делает их бездействие сознательным выбором в пользу защиты проверенного партнера в ущерб интересам собственных пользователей.
- Миф о 22-дневном отключении электроэнергии: Steamworks предоставляет разработчикам надежные инструменты для защиты своих учетных записей. Легитимный разработчик, утративший контроль над своей учетной записью, может подать заявку о «потере доступа к учетным данным издателя». Эта процедура разработана так, чтобы действовать быстро: права на публикацию и сборки блокируются в течение нескольких часов, а не недель. Представление о том, что разработчик может быть заблокирован на более чем 20 дней, пока его игра распространяет вредоносное ПО, абсурдно. Это подразумевает один из двух сценариев, оба из которых ставят Valve в невыгодное положение: либо разработчик был соучастником, либо Valve игнорировала его отчаянные заявки в службу поддержки в дополнение к десяткам жалоб пользователей.
- Систематическое игнорирование жалоб пользователей: Десятки пользователей подали подробные сообщения о финансовых махинациях, действиях вредоносного ПО и взломе учетных записей. Это были не просто расплывчатые жалобы, а информация, на основании которой можно было принять меры. Компетентная служба поддержки в течение 24 часов должна была бы отреагировать на эти сообщения, передать вопрос на рассмотрение вышестоящих инстанций и заблокировать страницу приложения до завершения расследования. То, что Valve не сделала этого в течение 22 дней, — это не упущение, а политика сознательного игнорирования.
«Основной обман»: фальсификация цифрового места преступления
Именно здесь попытки Valve скрыть факты переходят из разряда простой халатности в то, что можно охарактеризовать только как фальсификация цифрового места преступления. Скажем прямо: Valve не удалила зараженную игру.
Криминалистические данные и анализ, полученные исследователями в области безопасности, отслеживающими инфраструктуру C2, однозначно подтверждают: преступники самостоятельно удалили свои вредоносные сборки с серверов Steam. Они сделали это 21 сентября, только после того, как их группа управления в Telegram была публично разоблачена. Они осуществили «тактику выжженной земли», уничтожив улики, чтобы замести следы.
Заявление Valve о принятии мер — это откровенная выдумка. Дождавшись, пока злоумышленники заметут следы, и только после этого удалив страницу в магазине, Valve фактически позволила уничтожить основные улики. Это не было попыткой минимизировать ущерб — это было препятствованием расследованию. Они не защищали пользователей; они защищали себя, обеспечив «чистоту» места преступления.
Человеческая цена корпоративного безразличия
Небрежность компании Valve привела к реальным последствиям, за которые она не взяла на себя никакой ответственности.
- Финансовый крах: Было похищено более 150 000 долларов США (по всей видимости, сумма превышает 1 000 000 долларов США). Для многих это были деньги, способные изменить всю их жизнь. Один стример потерял 32 000 долларов во время прямой благотворительной трансляции, посвященной сбору средств на лечение рака.
- Предательство доверия: У сотен пользователей были взломаны учетные записи, похищены данные и заражены системы.
- Абсолютная тишина: До сих пор компания Valve не предложила ни возмещения убытков, ни компенсации, ни искренних извинений. Их шаблонный ответ стал оскорблением для каждой пострадавшей стороны.
Мотив: прибыль превыше всего
Почему Valve позволила этому произойти? Мотив столь же прост, сколь и циничен: это было дешевле.
По-настоящему радикальная реформа системы безопасности — внедрение тестирования в изолированной среде для всех сборок, разделение учетных данных разработчиков, наем квалифицированной команды специалистов по безопасности и публикация отчетов о прозрачности — обошлась бы в миллионы долларов. Выплата компенсаций пострадавшим создала бы дорогостоящий прецедент.
Альтернатива? Сделать расплывчатое, вводящее в заблуждение заявление, дождаться, пока новостной цикл пойдет дальше, и свести к минимуму ущерб для репутации. Это было обдуманное деловое решение, в котором безопасность пользователей была признана приемлемой потерей.
Такая практика халатности не является чем-то новым. От PirateFi (2024 г.) до Chemia (2025 г.) компания Valve неоднократно игнорировала предупреждения и допускала появление вредоносного ПО на своей платформе, принимая меры лишь после общественного резонанса. Случай с BlockBlasters не был исключением; это был неизбежный результат прогнившей культуры безопасности.
Окончательный вердикт: признан виновным по всем пунктам обвинения
Пусть факты говорят сами за себя.
- Факт: Автоматизированные системы Valve одобрили сборку, содержавшую незначительное вредоносное ПО.
- Факт: Служба поддержки Valve в течение трех недель игнорировала прямые предупреждения пострадавших.
- Факт: Компания Valve приняла меры только после того, как сами хакеры удалили вредоносные файлы.
- Факт: Официальное заявление компании Valve представляло собой преднамеренное искажение фактов, направленное на уклонение от ответственности.
Valve не просто допустила ошибку. Она солгала. Она скрыла свою халатность, защищала собственную прибыль, а расплачиваться за это пришлось пользователям. Доверие, которое сообщество возлагало на Steam, было безвозвратно утрачено. Это была не ошибка, а предательство.
