Truizmem byłoby twierdzenie, że jeden z czołowych polskich deweloperów gier ma ostatnio sporo problemów. Mowa oczywiście o CD Projekt (dalej CDP). Mało kto jednak pamięta, że ostatni cyberatak, który dotknął CDP, jest już trzecim (znanym mi) skutecznym w historii firmy.
W jednym z poprzednich artykułów zadałem (właściwie zrobili to hakerzy) kłam powiedzeniu, że piorun nigdy nie uderza dwa razy w to samo miejsce. Przekonał się o tym boleśnie australijski browar. A teraz, kto wie, czy nie boleśniej, nasz rodzimy wydawca.
Pisałem również, że błądzić jest rzeczą ludzką, zaś pozostawać w błędzie – głupotą. Pierwotny tytuł tego tekstu miał brzmieć: Wake the f*** up chairman of the board! We have cyber policy to buy! Gracze komputerowi pewnie się teraz uśmiechają, ponieważ jest to parafraza wypowiedzi jednej z postaci z gry Cyberpunk 2077 (youtube.com/watch?v=2fmJxcPwuWI). Ostatecznie stanęło na polskim tłumaczeniu tytułu. Mam jednak nadzieję, że po przeczytaniu niniejszego wstępu domyślą się Państwo, o co chodzi.
48 godzin
Twórca gier Wiedźmin i Cyberpunk 2077 ogłosił 9 lutego 2021 r. za pośrednictwem Twittera, że doszło do włamania do sieci CDP. Hakerzy zaszyfrowali część systemów i zostawili żądanie okupu, grożąc ujawnieniem lub zlicytowaniem zdobytych informacji, m.in. kodów źródłowych gier Cyberpunk 2077, Wiedźmin 3, Gwint oraz niewydanej wersji gry Wiedźmin 3 RTX. Zagrozili także, że prześlą zdobytą dokumentację wewnętrzną (związaną m.in. z księgowością, administracją, sprawami prawnymi, HR i relacjami inwestorskimi) dziennikarzom z prasy poświęconej grom komputerowym, by cały świat zobaczył, „jak gówniana jest wasza firma”.
CDP dostał 48 godzin na spełnienie żądań hakerów, którzy zasugerowali, że opublikowanie zdobytych przez nich materiałów zagrozi wizerunkowi CDP, prowadząc jednocześnie do spadku cen akcji.
Tego samego dnia przedstawiciel CDP złożył zawiadomienie na komendzie policji. Do incydentu miało dojść w nocy z niedzieli na poniedziałek. 8 lutego 2021 r. pracownicy CDP zgłosili, że nie mogą uzyskać dostępu do zasobów na dyskach współdzielonych na serwerze, ponieważ zostały zaszyfrowane. Na niektórych komputerach wyświetlał się komunikat pozostawiony przez hakerów.
W środę, 10 lutego 2021 r. nadzór nad postępowaniem przygotowawczym objęła Prokuratura Rejonowa dla Warszawy – Pragi Północ. Dochodzenie wszczęto w sprawie „bezprawnego uzyskania, nie później niż 8 lutego, dostępu do nieprzeznaczonych dla sprawcy informacji zawartych w zasobach serwerów CD Projekt RED SA”.
W toku postępowania weryfikowany będzie m.in. związek hakerskiego ataku z opublikowanym 8 lutego 2021 r. raportem bieżącym CDP 9/2021 i działalnością dewelopera na Giełdzie Papierów Wartościowych.
W odpowiedzi na żądania hakerów władze CDP oświadczyły, że nie zamierzają płacić okupu, chociaż mają świadomość, że może doprowadzić to do ujawnienia wykradzionych danych. Ponadto CDP podejmie kroki zmierzające do poinformowania o incydencie wszystkich, których może on dotyczyć (pomimo oświadczenia, że dane osobowe graczy i użytkowników pozostały nienaruszone). Powiadomiono także, poza organami ścigania, Urząd Ochrony Danych Osobowych oraz specjalistów z zakresu informatyki śledczej (na szczęście kopie zapasowe pozostały nietknięte).
Zdaniem specjalistów spełnienie wymagań cyberprzestępców wcale nie musiało oznaczać, że nielegalnie zdobyte informacje nie ujrzałyby światła dziennego. Firma Proofpoint, zajmująca się bezpieczeństwem cybernetycznym, opublikowała ankietę, z której wynika, że w 2020 r. dwie trzecie amerykańskich firm zostało dotkniętych atakami ransomware. Ponad połowa z nich zgodziła się zapłacić okup, aby szybko odzyskać dostęp do swoich danych. Tylko 60% z nich faktycznie odzyskało dostęp po dokonaniu płatności. Pozostałe firmy otrzymały dodatkowe żądania.
Elon Musk kontra HelloKitty
Przyjęta przez CDP polityka otwartości przypomina działania, jakie podjęła po cyberataku norweska firma Norsk Hydro. Być może CDP nie miał innego wyjścia, niż wyprzedzić ruch hakerów i przyznać się publicznie do incydentu. Gra Cyberpunk 2077 tuż po wydaniu roiła się od błędów, które w niektórych wypadkach uniemożliwiały jej ukończenie. Sytuację naprawiały co prawda sukcesywnie publikowane przez CDP poprawki, jednak fakt wydania gry przygotowywanej przez dziewięć lat z liczbą błędów zabijającą wręcz przyjemność grania odbiła się negatywnie na reputacji dewelopera. Liczba błędów doprowadziła nawet do wycofania gry ze swoich sklepów przez Sony i Microsoft. Rozgoryczonym graczom zwracane były także koszty zakupu.
Próby tuszowania ataku mogły więc jedynie pogorszyć sprawę. Należy jednak zauważyć, że chociaż liczne błędy skłoniły światowych gigantów do usunięcia tytułu ze swoich sklepów, zdobył on kilku znanych entuzjastów. Miliarder Elon Musk określił „estetykę” gry „niesamowitą”, co spowodowało gwałtowny wzrost akcji CDP (28 stycznia 2021 r. – kurs 365 zł). Jak widać, łaska pańska na pstrym koniu jeździ.
Na podstawie żądania okupu specjaliści z firmy Emsisoft, zajmującej się zwalczaniem złośliwego oprogramowania, wysnuli wniosek, że oprogramowanie ransomware wykorzystane w ataku zostało prawdopodobnie zaimplementowane przez grupę HelloKitty.
Szkodliwe oprogramowanie tej grupy wyłącza procesy i usługi przed zaszyfrowaniem plików na urządzeniu ofiary. Zwykle żądanie okupu towarzyszące atakowi nosi tytuł „’read_me_unlock.txt”. Taką samą nazwę miało zadanie skierowane do CDP. Na grupę ma także wskazywać metodologia oraz używane narzędzia, w tym wyspecjalizowany program Cobalt Strike służący do zdobywania wrażliwych danych.
Powrót do źródeł
A co z wykradzionymi danymi? Hakerzy dotrzymali danego słowa i wystawili kody źródłowe na aukcji. Chętnych nie brakowało. Aukcja została najprawdopodobniej zakończona po tym, jak sprzedający otrzymał satysfakcjonującą go ofertę spoza forum, na którym odbywała się licytacja.
O fakcie tym poinformowała KELA, organizacja zajmująca się monitorowaniem ruchu w darknecie, czyli podziemnej części internetu. Licytacja miała zacząć się od kwoty 1 mln dol. z możliwością podbijania o 0,5 mln dol., natomiast wystarczało wpłacić 7 mln dol., by od razu ją zakończyć.
Nikt nie jest jednak w stanie zweryfikować tego, jaką kwotę wydał nabywca. Najprawdopodobniej jednak wszedł w posiadanie wszystkich skradzionych kodów. Miał uzyskać także zapewnienie, że nie będą one udostępniane czy sprzedawane dalej.
Zapewne nigdy nie poznamy nabywcy, pojawiły się jednak sugestie, że mógł to być sam CDP lub ktoś w jego imieniu. W sieci pojawiły się także pogłoski, że pracownicy CDP wymieniają dowody osobiste, ponieważ ponoć miała miejsce próba wyłudzenia kredytu na dane utracone w wyniku ataku, jednak CDP oficjalnie zaprzeczył tym doniesieniom.
Pojawiły się także zdania odmienne, że żadnej aukcji nie było, zaś całe zamieszanie to zasłona dymna, by hakerzy mogli wyjść z twarzą po nieudanej próbie wyłudzenia.
Załóżmy jednak, że hakerzy znaleźli nabywcę na kody źródłowe. Co to może oznaczać dla CDP? Kod źródłowy to czytelna dla człowieka wersja programu komputerowego. Może być używana do tworzenia fałszywych kopii programu, zmienionych wersji oryginalnego tytułu, a także ujawnienia tajemnic jego rozwoju.
Ponadto poprawki i aktualizacje gry Cyberpunk 2077 mogą na jakiś czas zejść na drugi plan, ponieważ priorytetem będzie łagodzenie skutków ataku. Na razie potwierdzono, że atak krótkoterminowo wpłynie na tempo prac deweloperskich, ale nie da się wykluczyć, że CDP odczuje jego konsekwencje także w dłuższej perspektywie.
W dniu powstawania tego artykułu (14 lutego 2021 r.) kurs akcji CDP wynosił 263 zł. Czytam kolejne pytanie:
– Czy każdego stać na luksus odmowy zapłaty okupu i wszelkie związane z tym koszty?
– Proszę powtórzyć pytanie.
– Czy każdego stać na luksus odmowy zapłaty okupu i wszelkie związane z tym koszty?
– Ile mam czasu na odpowiedź?
– Ale konkretnie. Wie pan czy pan nie wie?
– Oczywiście nie potrzebuję.
– Co na to jury?
– Naturalnie jest pan doskonale zabezpieczony, ale nam chodzi o polisę cyber.
– Pytania są tendencyjne.
Co pokrywa polisa ubezpieczenia ryzyk cyber?
- Szkody własne
- przerwa w działalności
- koszty wznowienia działalności
- ataki hakerskie
- cyberwymuszenia
- socjotechnika
- Odpowiedzialność cywilna
- naruszenie prywatności i danych
- naruszenie bezpieczeństwa sieci
- nieprawidłowe zachowanie związane z działalnością medialną
- grzywny i kary
- kary umowne
Powyższy katalog ryzyk jest przykładowy i nie wyczerpuje pełnego zakresu ochrony oferowanego przez ubezpieczycieli.
Łukasz Cichowski
starszy broker w MAI Insurance Brokers Poland
