Ana içeriğe atla
Steam’de “Not Good Guy” Soruşturması

Kâr, Oyuncuların Önünde: BlockBlasters Olayının Üstü Örtülüyor (Steam Skandalları, 1. Bölüm)

Steam hakkındaki gizli gerçeği ortaya çıkaran, işleyişinin ardındaki yolsuzluğu, milyonlarca kullanıcıya zarar veren sistematik suistimali, sömürüyü ve ihmali ortaya koyan ve küresel bir tekelin bir oyun platformunu nasıl bir manipülasyon ve sessiz kâr makinesine dönüştürdüğünü ifşa eden, çok bölümlük bir araştırma dizisi başlatıyoruz.

Steam BlockBlasters Soruşturması - Oyuncuların Menfaatinden Öte Kâr

Önemli Bulgu

Steam alenen yalan söylüyor, suçluları koruyor ve soruşturmayı engelliyor.

Giriş: Kasıtlı İhmal Suçu

Ağustos 2025’te, dünyanın en büyük oyun platformu olan Steam, sadece bir güvenlik ihlaline maruz kalmakla kalmadı; aynı zamanda böyle bir ihlali aktif olarak mümkün kıldı. Bir dizi sistemik arıza ve ağır ihmal sonucu, Valve oyunun BlockBlasters (AppID 3872350), yıkıcı bir kötü amaçlı yazılım kampanyasının bir Truva atı haline geldi. Bu, sofistike ya da kaçınılmaz bir saldırı değildi. Steam’in güvenliğinin temelden çökmüş olması nedeniyle başarılı olan, ders kitabına uygun bir veri hırsızlığı operasyonuydu. 22 gün boyunca, Valve hiçbir önlem almazken bu uygulama yüz binlerce dolar çaldı, kripto cüzdanlarını boşalttı ve kullanıcı hesaplarını ele geçirdi.

Gerçek ortaya çıktığında, Valve’in tepkisi kullanıcılarını korumak değil, kendi imajını korumak oldu. Şirket, suçu başka bir yere atmak ve sorumluluktan kaçmak amacıyla uydurulmuş acınası bir yalan olan “güvenliği ihlal edilmiş bir geliştirici hesabı”nı suçlayan tek bir aldatıcı açıklama yayınladı. Bu makale, o yalanı çürütecektir. Adli veriler, zaman çizelgesi analizi ve Valve’in kendi politikalarını kullanarak, bu olayın sadece harekete geçmeme değil, kasıtlı bir şekilde suç teşkil eden ihmali örtbas etme girişimi olduğunu kanıtlayacağız.

Kurumsal ihmal zaman çizelgesi: 1. gün kötü amaçlı yazılım yayınlandı, 3. gün ilk bildirimler geldi, 3. gün çok sayıda uyarı alındı, 10. gün hiçbir önlem alınmadı ve 1.489.500 kurban maruz kaldı, 22. gün sonunda kaldırıldı
Kurumsal ihmal zaman çizelgesi: 1. gün kötü amaçlı yazılım yayınlandı, 3. gün ilk bildirimler geldi, 3. gün çok sayıda uyarı alındı, 10. gün hiçbir önlem alınmadı ve 1.489.500 kurban maruz kaldı, 22. gün sonunda kaldırıldı

Açığa Çıkan Kimlik

Steam, kötü amaçlı uygulamanın arkasındaki doğrulanmış geliştirici olan Valentin Lopes’i açıkça gizleyip yalan söylüyor.

22 Günlük Eylemsizlik Süreci

Valve’in bunu durdurmak için 22 günü vardı. Kullanıcı şikayetleri arka arkaya geliyordu ve platform verileri, sorun olduğuna dair açık işaretler gösteriyordu. Sessiz kalmaları bir tercihti.

31 Temmuz 2025

BlockBlasters piyasaya sürüldü. Temiz ve geçerli bir sürüm, Steam’in inceleme sürecinden geçti.

30 Ağustos 2025

Tuzak kuruldu. Saldırganlar, Patch Build 19799326 sürümünü yayıyor. Kötü amaçlı yazılım yükünü içeren bu güncelleme, Steam tarafından onaylanıyor ve tüm oyunculara dağıtılıyor.

2025 yılının Eylül ayı başı

İlk mağdurlar alarm çaldı. Kullanıcılar, anormal CPU kullanımı, şüpheli ağ trafiği ve en önemlisi çalınan kripto para birimini bildiren destek talepleriyle Steam Destek’i adeta sel bastı. Bu talepler, Valve tarafından görmezden gelinerek bir kara deliğe düştü.

6 Eylül 2025'te 12

Veriler açıkça bir uyarı veriyor. SteamDB’nin halka açık telemetri verileri, oyuncu sayısının tek haneli rakamlara düştüğünü gösteriyor; ancak oyun hâlâ yüzlerce bilgisayarda yüklü durumda ve sessizce veri sızdırmaya devam ediyor. Bu büyük tutarsızlık, yetkin herhangi bir izleme sisteminin farkına varması gereken bir tehlike işaretidir.

21 Eylül 2025

Topluluk harekete geçiyor. Bağımsız güvenlik araştırmacıları, kötü amaçlı yazılımın Telegram tabanlı komuta ve kontrol altyapısını ortaya çıkararak hackerları köşeye sıkıştırıyor.

22 Eylül 2025

Kanıt yadsınamaz. G DATA CyberDefense AG, kötü amaçlı yazılımın çok aşamalı saldırı vektörünü doğrulayan ve sızıntının teknik ayrıntılarını ortaya koyan kapsamlı bir adli inceleme raporu yayınladı.

Saldırının Anatomisi

Bu, son teknoloji bir kötü amaçlı yazılım değildi. Yaygın olarak kullanılan komut dosyaları ve bilgi hırsızlığı yazılımlarından oluşan, kaba ama etkili bir karışımdı; milyarlarca dolarlık bir platformun bunu tespit etmesi çocuk oyuncağı olmalıydı.

1. Aşama: İlk Güvenlik İhlali (game2.bat)

İlk yük, basit bir toplu iş komut dosyasıydı ve temel keşif faaliyetleri gerçekleştirdi: IP adresleri, coğrafi konum bilgileri ve Steam kullanıcı bilgilerini topladı. Ardından, şifre korumalı bir ZIP dosyası (v1.zip) indirdi; bu, basit otomatik tarayıcıları atlatmak için kullanılan klasik bir tekniktir.

2. Aşama: Kaçınma ve Tırmanma (VBS Yükleyicileri)

Kötü amaçlı yazılım, VBS komut dosyalarını kullanarak temel bileşenlerini gizli komut pencerelerinde çalıştırdı. Kendi dizinini Microsoft Defender’ın hariç tutma listesine ekledi; bu eylem, izlenen herhangi bir sistemde derhal yüksek öncelikli bir uyarıyı tetiklemesi gereken bir işlemdir.

3. Aşama: Veri Hırsızlığı (Client-built2.exe ve Block1.exe)

Savunma mekanizmaları devre dışı bırakıldıktan sonra, kötü amaçlı yazılım ana yüklerini devreye soktu: kalıcı erişim için Python tabanlı bir arka kapı ve StealC bilgi hırsızının bir varyantı. Bu yazılım, Chrome, Edge ve Brave tarayıcılarındaki tarayıcı verilerini, oturum belirteçlerini ve en önemlisi kripto para cüzdanlarını hedef aldı. Çalınan tüm veriler, güvenli olmayan HTTP trafiği üzerinden iki komuta ve kontrol sunucusuna aktarıldı. Kripto varlıklarını boşaltan bu kötü amaçlı yazılımın IOC’leri, Steam’in organize hırsızlık operasyonları için bir dağıtım vektörü olduğunu doğruladı.

İhanete Uğrayan Güven

Tam da onların güvenilirlik algısı ve dikkatsizlikleri, örtbas ettikleri düzinelerce hırsızlık olayına yol açtı. Bu durum, platforma duyulan güveni büyük ölçekte istismar eden, ders kitabı niteliğinde bir tedarik zinciri saldırısını temsil ediyor.

Güvenlik İhlali Göstergeleri (IOC'ler)

DosyaSHA256Sınıflandırma
game2.bat aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3 BAT.Trojan-Stealer.StimBlaster.F
launch1.vbs c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3 Script.Malware.BatchRunner.A@IOC
test.vbs b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b Script.Malware.BatchRunner.A@IOC
Client-built2.exe 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a Win64.Backdoor.StimBlaster.L6WGC3
Block1.exe59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9eWin32.Trojan-Stealer.StealC.RSZPXF

Yalanın Çözümlenmesi: “Hacklenen Hesap” Tamamen Saçmalık

Gizleme Girişimi Ortaya Çıktı

Steam, kurbanlara destek olur ve onlara yardım ederken, şirketi ise geliştiricileri denetler ve içeriklerine en yüksek güven sertifikasını verir.

Valve’in “hacklenen geliştirici” bahanesini olduğu gibi adlandıralım: acınası ve kolayca çürütülebilen bir yalan. Bu, kullanıcı kitlesinin zekasına bir hakarettir; kendi ihmallerinin sonuçlarından kendilerini korumak için uydurulmuş bir hikâye. Steam’in kendi zorunlu prosedürlerine baktığınız anda bu hayali hikâye tamamen çöküyor.

Temel Aldatmaca: Dijital Suç Mahallinde Kanıtların Tahrif Edilmesi

İşte burada Valve’in örtbas çabası, basit bir ihmalden, ancak şu şekilde tanımlanabilecek bir duruma dönüşüyor: dijital suç mahalline müdahale etmek. Şunu açıkça belirtelim: Valve, virüs bulaşmış oyunu kaldırmadı.

C2 altyapısını izleyen güvenlik araştırmacılarının adli kanıtları ve analizleri bunu kesin olarak doğruluyor: Suçlular, Steam sunucularındaki zararlı yazılım sürümlerini kendileri sildiler. Bunu, Telegram kontrol grubu kamuoyuna ifşa edildikten sonra, 21 Eylül’de yaptılar. İzlerini örtbas etmek için kanıtları yok ederek “yakıp yıkma” taktiğiyle çekildiler.

Dijital suç mahalline müdahale - PhishDestroy, büyüteçle inceleme yaparken, Steam/Valve’in eli “geçmeyin” şeridini aşarak uzanıyor
Dijital suç mahalline müdahale - PhishDestroy, büyüteçle inceleme yaparken, Steam/Valve’in eli “geçmeyin” şeridini aşarak uzanıyor

Valve’in önlem aldığına dair iddiası apaçık bir uydurmadır. Saldırganların kendi izlerini silmelerini bekleyip ancak ondan sonra mağaza sayfasını kaldırmak için harekete geçen Valve, aslında başlıca delillerin yok edilmesine izin vermiştir. Bu bir hasar kontrolü değildi; bir engellemeydi. Kullanıcıları korumuyorlardı; suç mahallini temizleyerek kendilerini koruyorlardı.

Şirketlerin Kayıtsızlığının İnsani Bedeli

Valve’in ihmali, gerçek hayatta bazı sonuçlara yol açtı; ancak şirket bu konuda hiçbir sorumluluk üstlenmedi.

Gerekçe: İnsanlardan Önemli Olan Kâr

Valve neden böyle bir şeyin olmasına izin versin ki? Bunun ardındaki neden, alaycı olduğu kadar basit: daha ucuzdu.

Tüm derlemeler için sanal ortamda testlerin uygulanması, geliştirici kimlik bilgilerinin ayrılması, yetkin bir güvenlik ekibinin işe alınması ve şeffaflık raporlarının yayınlanması gibi gerçek bir güvenlik revizyonu milyonlarca dolara mal olur. Mağdurlara tazminat ödenmesi ise maliyetli bir emsal teşkil eder.

Alternatif neydi? Belirsiz ve yanıltıcı bir açıklama yayınlamak, haber gündeminin başka konulara kaymasını beklemek ve halkla ilişkiler açısından en az zararı üstlenmek. Bu, kullanıcı güvenliğinin kabul edilebilir bir kayıp olarak değerlendirildiği, hesaplanmış bir iş kararıydı.

Bu ihmal eğilimi yeni bir şey değil. PirateFi (2024) olayından Chemia (2025) olayına kadar, Valve uyarıları defalarca görmezden geldi ve kötü amaçlı yazılımların platformuna girmesine izin verdi; ancak kamuoyunun tepkisi üzerine harekete geçti. BlockBlasters bir istisna değildi; bu, çürümüş bir güvenlik kültürünün kaçınılmaz sonucuydu.

Nihai Karar: Suçlamalar Doğrulandı

Gerçekler kendi adına konuşsun.

Valve sadece başarısız olmakla kalmadı. Yalan söyledi. Kendi ihmalkarlığını örtbas etti, kârını korudu ve bedelini kullanıcılarına ödetmeye bıraktı. Topluluğun Steam’e duyduğu güven geri dönülmez bir şekilde sarsıldı. Bu bir hata değildi; bir ihanetti.

Medium’da araştırmanın tamamını okuyun

Bu, kapsamlı ve çok bölümlü araştırmamızdan bir alıntıdır. Ek kanıtlar, zaman çizelgeleri ve analizlerin yer aldığı raporun tamamını okuyun.

Medium’da okumaya devam et →
Haberlere Geri Dön
#Steam#Valve#CryptoDrainer#Malware#GamingSecurity

İlgili Soruşturmalar

150'den Fazla Sahte Mozilla Eklentisi: Tek Arka Uç, Tek Ağ
SORUŞTURMA
150'den Fazla Sahte Mozilla Eklentisi: Tek Arka Uç, Tek Ağ
$0 Takedowns: How We Disrupt Phishing Infrastructure
SORUŞTURMA
$0 Takedowns: How We Disrupt Phishing Infrastructure
NameSilo, Webnic, NiceNIC: Dolandırıcılıklara Zemin Hazırlayan Kayıt Sağlayıcıları
SORUŞTURMA
NameSilo, Webnic, NiceNIC: Dolandırıcılıklara Zemin Hazırlayan Kayıt Sağlayıcıları
Şeffaflık bildirimi. PhishDestroy, ticari amaç gütmeyen, bağımsız bir projedir. Araştırmalarımız, dolandırıcılık altyapısına ve bunu mümkün kılan hizmetlere karşı içsel bir önyargı yansıtıyor olabilir. Okuyucularımızı, tüm materyalleri eleştirel ve bağımsız bir şekilde değerlendirmeye davet ediyoruz. Şeffaflık beyanımızın tamamını okuyun →