چطور یک ویروس سرورهای بازی Modern Warfare 2 را خاموش کرد؟

شاید برایتان عجیب باشد اما بازی‌های قدیمی کال آو دیوتی هنوز مخاطب دارد و سرورهای آنلاین آن‌ها پر از بازیکن است. در همین اولین بخش باید اعلام کنیم که در حال حاضر اتفاق بزرگی پیرامون بخش آنلاین بازی جدید Modern Warfare 2 که در سال ۲۰۲۲ منتشر شده رخ نداده و همه اتفاقات مربوط به بازی سال ۲۰۰۹ است. اکتیویژن در روزهای اخیر مجبور شد تا سرور بخش آنلاین بازی Modern Warfare 2 را در پلتفرم استیم خاموش کند. اما چه چیزی باعث این اتفاق شده؟ در این مقاله به این موضوع خواهیم پرداخت. با ویجیاتو همراه بمانید.

لازم به ذکر است که تمامی اشکالات ذکر شده و اشارات در متن، مربوط به بازی سال ۲۰۰۹ است و هیچ ارتباطی به بازی جدید سال ۲۰۲۲ ندارد.

ماجرا از کجا آغاز شد؟

---

ماجرا از آنجا آغاز شد که در روز ۲۶ ژولای (۴ مرداد) یکی از بازیکنان بازی در استیم هشدار داد که بازی به یک بدافزار مجهز شده که از طریق لابی‌ها می‌تواند سیستم دیگر بازیکنان را هک کند. اکانت اکس (توییتر سابق) Call of Duty Updates که یکی از اکانت‌های رسمی این مجموعه محسوب می‌شود، در پستی به بازیکنان اعلام کرد که سرورهای بازی Modern Warfare 2 (2009) به علت بررسی این گزارش خاموش می‌شود. از آن زمان تا به امروز سرورهای این بازی به حالت عادی برنگشته است.

بازی Modern Warfare 2 در طول این چند سال همواره مورد حمله‌های هکری متعددی قرار گرفته و بازیکنان با مشکلات مختلفی دست و پنجه نرم می‌کنند. البته که این مشکلات فقط مربوط به این بازی نیست و دیگر بازی‌های کال آو دیوتی هم با مشکلات سایبری و هکری روبرو می‌شوند اما خاموش شدن کامل سرورهای مدرن وارفر 2 نشان از آن دارد که مشکل ایجاد شده بسیار جدی بوده و قضیه این یکی فرق دارد.

با بررسی کارشناسان و درز اطلاعات، متوجه شدیم که بازی Modern Warfare 2 شامل یک بدافزار (Malware) شده که دارای ویروس Worm است. ویروسی که در اصطلاح به کرم کامپیوتری هم شناخته می‌شود. البته که برخی کارشناسان اعتقاد دارند که Worm با ویروس تفاوت دارد و تنها وجه اشتراک آن میل به تکثیر شدن در سیستم است. بزرگترین تفاوت در Worm و دیگر ویروس‌های کامپیوتری در آن است که کرم‌های کامپیوتری از یک نقطه در شبکه، تکثیر شدن را شروع می‌کند و آلودگی سیستم از آن لحظه آغاز می‌شود. برخلاف ویروس، Wormها در شبکه تکثیر می‌شوند و با آلوده کردن یک سیستم، در یک سیستم دیگر هم تکثیر می‌شود. از طرفی کاربر نقش مستقیمی در تکثیر این بدافزار را ندارد. دیگر ویروس‌ها معمولا از طریق ایمیل‌ها یا گاها مدیاهای آلوده شده راه خودشان را به سیستم باز می‌کنند.

مشخصا وجود این بدافزار در یک بازی آنلاین منجر به شکل‌گیری یک فاجعه می‌شود. از آن جهت که جلوگیری از تکثیر آن هم بسیار دشوار است، باید فورا تدابیر لازم برای جلوگیری از تکثیر این بدافزار صورت گیرد.

کارشناسان نرم‌افزارها و بدافزارها بعد از مدتی متوجه شدند که بازی Modern Warfare 2 هم به این بدافزار آلوده شده است. برای اولین بار برناردو کوینترو (Bernardo Quintero) موسس VirusTotal در پستی اعلام کرد که آن‌ها در تاریخ ۲۴ ژولای و از طریق سورس‌های بازی متوجه شدند که بازی‌ مدرن وارفر 2 آلوده به این ویروس شده. این موسسه یک نسخه دیگر از این ویروس را هم در روز ۱۸ ژولای در فایل‌های بتای بازی پیدا کرده بود که به نظر می‌آید منشا اصلی تکثیر این ویروس هم بوده است.

هکر، تکثیر این بدافزار را در پوشه‌ای به نام Call of Duty 1337 آغاز کرده بود. وبسایت دکستر تلاش داشته تا با کوینترو برای دسترسی کامل به اطلاعات این اتفاق دسترسی داشته باشد اما این فرد پاسخی به این رسانه نداده است. با این حال کوینترو در یک توییت دیگر نحوه کار این بدافزار را به طور کامل توضیح داده است. درست است که درک کامل گراف زیر آسان نیست اما این گراف نحوه پینگ اطلاعات را بین سرورهای Modern Warfare 2 و نقطه پایانی که هکر باشد را نشان می‌دهد.

حالا گروه تحقیقاتی VX-Underground هم به بررسی این اتفاق پرداخته و توضیحات جدیدی به وبسایت دکستر داده است. این گروه روی مسائل بزرگی تمرکز می‌کند و اتفاقات سایبری بزرگ را مورد بررسی قرار می‌دهد اما این مسئله هم مورد توجه این گروه قرار گرفت و رهبر اصلی این گروه تصمیم گرفت تا به وبسایت دکستر توضیحاتی درباره این حمله هکری ارائه دهد.

البته که رهبر این گروه می‌گوید که او هم روزی شیفته بخش آنلاین بازی Modern Warfare 2 و دیگر بازی‌ها مثل Halo 3 و Gears of War بوده و بررسی این موضوع برایش حس نوستالژیک داشته است. چیزی که باعث شگفتی این گروه شده، جامعه هدف این حمله است. به اعتقاد این گروه، معمولا استفاده از بدافزارهای Worm برای شرکت‌های بزرگ یا دولت‌ها بوده اما عجیب است که در حال حاضر، گیمرها مورد حمله قرار گرفتند.

این گروه تحقیقاتی به نحوه کار این ویروس می‌پردازد. این ویروس بخش‌های کلیدی و مهم ساختار فایل Modern Warfare 2 را هدف می‌گیرد و نحوه بارگیری (Load) فایل‌ها را دستکاری می‌کند و به نوعی سوءاستفاده می‌کند. این گروه تحقیقاتی این روش را بهره‌برداری از بازگذاری جانبی DLL یا (Dynamic Link Library Side-loading) می‌نامد. از این تکنیک معمولا در قالب یک نرم‌افزار رسمی و قانونی استفاده می‌شود و شامل یک کد مخرب است که از مکانیسم‌های امنیتی فرار می‌کند و راه خراب‌کاری را برای هکر آسان می‌کند.

حال این تکنیک در کدام قسمت Modern Warfare 2 به کار گرفته شده؟ گروه VX Underground پاسخ می‌دهد:«ویندوز یک کتابخانه به نام dsound.dll دارد که برای صدا استفاده می‌شود. این کتابخانه معمولا همیشه توسط سیستم‌عامل مورد استفاده قرار می‌گیرد. با این حال در سال ۲۰۰۹، برنامه‌نویسان یک اشتباه جزئی داشتند. (در میان دیگر ایرادات فنی) وقتی بازی تلاش برای بارگذاری dsound.dll می‌کند، تمام فایل‌های کتابخانه را تعیین می‌کند.»

معمولا این بخش در فایل‌های سیستم مربوط به سیستم عامل پیدا می‌شود اما چیزی که درباره این مسئله کشف شده آن است که اگر فایل DLL را در فایل دایرکتوری مدرن وارفر 2 قرار دهید، آن جایگزین بخش سرچ ویندوز می‌شود و این حالت به صورت پیش‌فرض باقی می‌ماند.

پس از بارگذاری DLL آلوده، بازی (نرم‌افزار) هیچ راهی برای پیدا کردن و از بین بردن این مشکل ندارد و به صورت نرمال کارش را انجام می‌دهد:«زمانی که Modern Warfare 2 سعی می‌کند فانکشن directsoundcreate را اجرا کند، بدافزار فعال شده و کرم (Worm) را راه‌اندازی می‌کند و سیستم آلوده می‌شود.»

این گروه اشاره می‌کند که در ابتدا این فانکشن کاری که باید در فایل انجام دهد را در چارچوب درست انجام می‌دهد اما بلافاصله وارد جریان دیگری می‌شود و کارهایی که قرار نیست انجام دهد را انجام می‌دهد.

زمانی که Worm در سیستم شما فعال می‌شود، بازیکنان دیگر هم آلوده می‌شوند و این روند ادامه پیدا می‌کند. فقط کافی‌ست که یک بازیکن آلوده فقط در یک لابی حضور داشته باشد و به ناگهان ۱۷ بازیکن دیگه هم به این ویروس آلوده می‌شوند.

با آشکار شدن وجود این بدافزار و ویروس در فایل بازی، مشخص شد که این Worm با اشتباه‌های بزرگی همراه است. اشتباه‌هایی که به راحتی راه اکتیویژن را برای پیدا کردن هکر روان می‌کند. گروه VX Underground می‌گوید که مهاجم دومینی (Domain) که برای اطلاعات داشته را از طریق Name.com خریداری کرده است. اگر نهادهای دولتی و اکتیویژن به Name.com فشار بیاورند و به اطلاعات سری دست پیدا کنند به راحتی می‌توانند هکر را هم پیدا کنند. این گروه می‌گوید که هکر مورد نظر توانایی خوبی در پاک کردن رد پاها نداشته است.

با استفاده از پلاگین Whols مشخص شده که می‌توان فرآیند ریجستری دومین‌ها را ردیابی کرد، همچنین مشخص شد که سایت مورد نظر ۱۱۹ روز پیش ساخته شده و در خارج از منطقه اوهایو راه‌اندازی شده است. با این حال VX Undergorund همچنان نمی‌تواند تایید کند که آیا هکر قصد دارد تا فرآیند Worm را پیش ببرد یا خیر. همان‌طور که رسانه TechCrunch در گزارشی این موضوع را مطرح کرده که شاید این اتفاقات ناشی از یک اثر ناخواسته باشد. چون همچنان منطقی نیست که با استفاده از این تکنیک، جوانان و نوجوانان گیمر را مورد هدف قرار بدهید و آن‌ها را گرفتار یک مشکل بزرگ کنید.

آیا سرورهای Modern Warfare 2 به حالت نرمال برمی‌گردند؟

---

رسانه‌ها تلاش کردند تا از اکتیویژن اطلاعات بیشتری از این موضوع بگیرند اما تیم روابط عمومی اکتیویژن اعلام کرده که آن‌ها زمان مشخصی را برای بازگرداندن سرورهای Modern Warfare 2 تعیین نکردند و هیچ زمان قطعی وجود ندارد. همچنین تعداد افرادی هم که قربانی این حمله شدند نامشخص است.

حاشیه‌ها و جنجال‌های سری کال آو دیوتی تمامی ندارد و حالا پس از گذشت تقریبا یک ماه هنوز مشخص نیست که چه اتفاقی برای مدرن وارفر 2 کلاسیک خواهد افتاد. پیش‌تر هم بازی Black OPS 3 که همچنان بازیکنان زیادی دارد دچار مشکلات امنیتی بسیاری شده بود و عناوین جدیدتر هم که گرفتار چیترها و هکرها شده است. اکتیویژن هنوز عمل موثری انجام نداده و باید دید که آیا مایکروسافت می‌تواند به مسائل امنیتی نیز کمک کند یا خیر. به هر حال فعلا باید مراقب Modern Warfare 2 کلاسیک باشید و انتظار داشته باشیم که چنین حفره امنیتی بزرگ به دیگر بازی‌های کلاسیک و حتی جدید نفوذ نکند و بازیکنان درگیر اتفاقات خطرناک نشوند.