Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / RU / STEAM NOT GOOD GUY

Вредоносное ПО «BlockBlasters» в [REDACTED]: раскрыта халатность платформы

The Enablers Registry·Editorial mirror·/ru/steam-not-good-guy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Расследование по делу «[REDACTED] Not Good Guy»

Прибыль превыше всего: дело о сокрытии фактов вокруг BlockBlasters (Скандалы в [REDACTED], часть 1)

Мы начинаем многосерийное расследование, цель которого — раскрыть скрытую правду о [REDACTED], раскрыть коррупцию, стоящую за его деятельностью, системные злоупотребления, эксплуатацию и халатность, нанесшие ущерб миллионам пользователей, а также показать, как глобальная монополия превратила игровую платформу в инструмент манипуляции и незаметного извлечения прибыли.

Расследование по игре «BlockBlasters» на [REDACTED] — прибыль превыше всего

Критическое заключение

[REDACTED] откровенно лжет, покрывает преступников и препятствует расследованию.

Введение: Преступление, совершенное в результате преднамеренной халатности

В августе 2025 года крупнейшая в мире игровая платформа [REDACTED] не просто подверглась взлому, но и сама способствовала его возникновению. В результате целой череды системных сбоев и грубой халатности компания Valve позволила игре BlockBlasters (AppID 3872350) превратилось в «троянского коня» в рамках разрушительной вредоносной кампании. Это не была изощрённая атака, которую невозможно было предотвратить. Это была классическая операция по краже данных, которая увенчалась успехом из-за того, что система безопасности [REDACTED] имеет фундаментальные недостатки. В течение 22 дней злоумышленники похитили сотни тысяч долларов, опустошили криптовалютные кошельки и взломали учетные записи пользователей, в то время как Valve бездействовала.

Когда правда всплыла на поверхность, компания Valve отреагировала не тем, чтобы защитить своих пользователей, а тем, чтобы защитить свой имидж. Компания выпустила единственное, обманчивое заявление, в котором вину возлагала на «взломанную учетную запись разработчика» — жалкую ложь, призванную переложить ответственность и уйти от ответственности. В этой статье мы разоблачим эту ложь. Используя данные криминалистической экспертизы, анализ хронологии событий и собственные правила Valve, мы докажем, что этот инцидент был не просто бездействием, а преднамеренным сокрытием преступной халатности.

Хронология корпоративной халатности: 1-й день — появление вредоносного ПО; 3-й день — первые сообщения; 3-й день — множество предупреждений; 10-й день — никаких мер, при этом под угрозой оказались 1 489 500 жертв; 22-й день — наконец-то удалено
Хронология корпоративной халатности: 1-й день — появление вредоносного ПО; 3-й день — первые сообщения; 3-й день — множество предупреждений; 10-й день — никаких мер, при этом под угрозой оказались 1 489 500 жертв; 22-й день — наконец-то удалено

Раскрытая личность

[REDACTED] откровенно лжет и скрывает Валентина Лопеса — проверенного разработчика, стоящего за вредоносным приложением.

22-дневная хроника бездействия

У Valve было 22 дня, чтобы это остановить. Поступали многочисленные сообщения от пользователей, а данные платформы явно свидетельствовали о наличии проблем. Их молчание было сознательным решением.

31 июля 2025 года

Выходит игра BlockBlasters. Чистая, легальная версия прошла проверку в системе [REDACTED].

30 августа 2025 года

Ловушка заложена. Злоумышленники выпускают патч с номером сборки 19799326. Это обновление, содержащее вредоносный код, одобрено [REDACTED] и распространяется среди всех игроков.

Начало сентября 2025 года

Первые пострадавшие бьют тревогу. Пользователи заваливают службу поддержки [REDACTED] заявками, в которых сообщают о ненормальной загрузке процессора, подозрительном сетевом трафике и, что самое важное, о краже криптовалюты. Эти заявки попадают в «черную дыру» — компания Valve их игнорирует.

6–12 сентября 2025 года

Данные явно сигнализируют об опасности. Открытые телеметрические данные SteamDB показывают, что количество игроков сократилось до однозначных цифр, однако игра по-прежнему установлена на сотнях компьютеров, незаметно выводя данные. Этот огромный разрыв является тревожным сигналом, который должна была бы зафиксировать любая надлежащая система мониторинга.

21 сентября 2025 года

Сообщество принимает меры. Независимые исследователи в области кибербезопасности раскрывают инфраструктуру управления и контроля вредоносного ПО, основанную на [REDACTED], что вынуждает хакеров пойти на уступки.

22 сентября 2025 года

Доказательства неопровержимы. Компания G [REDACTED] опубликовала полный криминалистический отчет, в котором подтверждается многоэтапный вектор атаки вредоносного ПО и раскрываются технические детали инцидента.

Анализ атаки

Это не было каким-то передовым вредоносным ПО. Это был примитивный, но эффективный «коктейль» из распространенных скриптов и программ-крадецов, который для платформы с оборотом в несколько миллиардов долларов должен был быть тривиальным для обнаружения.

Этап 1: Первоначальное проникновение (game2.bat)

Первоначальный полезный груз — простой пакетный скрипт — выполнял базовую разведку: сбор данных об IP-адресах, геолокации и пользователях [REDACTED]. Затем он загрузил ZIP-файл, защищенный паролем (v1.zip) — классический прием, позволяющий обойти простые автоматические сканеры.

Этап 2: Уклонение и эскалация (загрузчики VBS)

С помощью скриптов VBS вредоносное ПО запускало свои основные компоненты в скрытых окнах командной строки. Оно добавило свой собственный каталог в список исключений Microsoft Defender — действие, которое должно было вызвать немедленное предупреждение с высоким приоритетом на любой системе, находящейся под мониторингом.

Этап 3: Кража данных (Client-built2.exe и Block1.exe)

После отключения средств защиты вредоносное ПО развернуло свои основные полезные нагрузки: бэкдор на языке Python для постоянного доступа и вариант программы-крадеца данных StealC. Оно нацеливалось на данные браузеров, токены сеансов и, что наиболее важно, на криптовалютные кошельки в Chrome, Edge и Brave. Все похищенные данные передавались на два командно-контрольных сервера по незащищенному HTTP-трафику. Индикаторы компрометации (IOC), связанные с кражей криптовалюты, подтвердили, что [REDACTED] использовался в качестве канала распространения вредоносного ПО для организованных операций по краже.

Преданное доверие

Именно их авторитетный сертификат и пренебрежительное отношение к безопасности привели к десяткам краж, которые они пытаются скрыть. Это типичный пример атаки на цепочку поставок, в которой в широких масштабах злоупотребляется доверием к платформе.

Показатели взлома (IOC)

ФайлSHA256Классификация
game2.bat aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3 BAT.Trojan-Stealer.StimBlaster.F
launch1.vbs c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3 Script.Malware.BatchRunner.A@IOC
test.vbs b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b Script.Malware.BatchRunner.A@IOC
Client-built2.exe 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a Win64.Backdoor.StimBlaster.L6WGC3
Block1.exe59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9eWin32.Trojan-Stealer.StealC.RSZPXF

Разоблачение лжи: «взломанный аккаунт» — это полная чушь

Разоблачение заговора

[REDACTED] лжет и помогает жертвам, в то время как их компания проверяет разработчиков и присваивает их контенту наивысший сертификат доверия.

Давайте назовем оправдание Valve о «взломанном аккаунте разработчика» тем, чем оно является на самом деле: жалкая и легко опровергаемая ложь. Это оскорбление интеллекта их пользователей — версия событий, придуманная для того, чтобы оградить компанию от последствий собственной халатности. Вся эта выдумка рушится, как только вы ознакомитесь с обязательными процедурами самого [REDACTED].

  • «Барьер в 100 долларов» и проверка личности: Чтобы опубликовать игру в [REDACTED], каждый разработчик должен пройти программу [REDACTED] Direct. Это предполагает уплату сбора в размере 100 долларов и прохождение процедуры «Знай своего клиента» (KYC), в ходе которой необходимо предоставить официальные имена, банковские реквизиты и налоговые документы. Виновник не был анонимным призраком; у Valve в архиве были его подтвержденные данные о личности и финансовые сведения. Это делает их бездействие сознательным выбором в пользу защиты проверенного партнера в ущерб интересам собственных пользователей.
  • Миф о 22-дневном отключении электроэнергии: Steamworks предоставляет разработчикам надежные инструменты для защиты своих учетных записей. Легитимный разработчик, утративший контроль над своей учетной записью, может подать заявку «О потере доступа к учетным данным издателя». Эта процедура разработана так, чтобы действовать быстро: права на публикацию и сборки блокируются в течение нескольких часов, а не недель. Представление о том, что разработчик может оставаться заблокированным более 20 дней, пока его игра распространяет вредоносное ПО, абсурдно. Это подразумевает один из двух сценариев, оба из которых ставят Valve в невыгодное положение: либо разработчик был соучастником, либо Valve игнорировала его отчаянные обращения в службу поддержки, а также десятки жалоб пользователей.
  • Систематическое игнорирование жалоб пользователей: Десятки пользователей подали подробные сообщения о финансовых махинациях, действиях вредоносного ПО и взломе учетных записей. Это были не просто расплывчатые жалобы, а оперативная информация, требующая принятия мер. Компетентная служба поддержки должна была бы обратить на это внимание, передать проблему на рассмотрение вышестоящих инстанций и заблокировать страницу приложения на время расследования в течение 24 часов. То, что Valve не сделала этого в течение 22 дней, — не упущение, а политика сознательного игнорирования.

«Основной обман»: фальсификация цифрового места преступления

Именно здесь попытки Valve скрыть факты переходят из разряда простой халатности в то, что можно охарактеризовать только как фальсификация цифрового места преступления. Скажем прямо и однозначно: Valve не удалила заражённую игру.

Криминалистические данные и анализ, полученные исследователями в области безопасности, отслеживавшими инфраструктуру C2, однозначно подтверждают: преступники сами удалили свои вредоносные сборки с серверов [REDACTED]. Они сделали это 21 сентября, только после того, как их группа управления в [REDACTED] была публично разоблачена. Они осуществили отход по принципу «выжженной земли», уничтожив улики, чтобы замести следы.

Вмешательство в цифровое место преступления — рука представителя [REDACTED]/Valve проходит мимо ленты с надписью «Не пересекать», пока THE ENABLERS REGISTRY проводит расследование с помощью лупы
Вмешательство в цифровое место преступления — рука представителя [REDACTED]/Valve проходит мимо ленты с надписью «Не пересекать», пока THE ENABLERS REGISTRY проводит расследование с помощью лупы

Заявление Valve о принятии мер — это откровенная выдумка. Дождавшись, пока злоумышленники заметут следы, и только после этого удалив страницу в магазине, Valve фактически позволила уничтожить основные улики. Это не было попыткой минимизировать ущерб — это было препятствованием расследованию. Они не защищали пользователей; они защищали себя, позаботившись о том, чтобы место преступления было «очищено».

Человеческие жертвы корпоративного безразличия

Халатность компании Valve привела к реальным последствиям, за которые она не взяла на себя никакой ответственности.

  • Финансовый крах: Было похищено более 150 000 долларов США (по всей видимости, сумма превышает 1 000 000 долларов США). Для многих эта сумма могла изменить всю их жизнь. Один стример потерял 32 000 долларов во время прямой благотворительной трансляции, организованной для сбора средств на лечение рака.
  • Предательство доверия: У сотен пользователей были взломаны учетные записи, похищены данные и заражены системы.
  • Абсолютная тишина: До сих пор компания Valve не предложила ни возмещения средств, ни компенсации, ни искренних извинений. Их стандартный шаблонный ответ стал оскорблением для каждой пострадавшей стороны.

Мотив: прибыль превыше всего

Почему Valve позволила этому произойти? Мотив столь же прост, сколь и циничен: это было дешевле.

По-настоящему радикальная реформа системы безопасности — внедрение тестирования в изолированной среде для всех сборок, разделение учетных данных разработчиков, наем компетентной команды специалистов по безопасности и публикация отчетов о прозрачности — обошлась бы в миллионы. Выплата компенсаций пострадавшим создала бы дорогостоящий прецедент.

Альтернатива? Опубликовать расплывчатое, вводящее в заблуждение заявление, дождаться, пока новостной цикл переключится на другие темы, и свести к минимуму ущерб для репутации. Это было обдуманное деловое решение, в рамках которого безопасность пользователей была признана приемлемой потерей.

Такая практика халатности не нова. От PirateFi (2024 г.) до Chemia (2025 г.) компания Valve неоднократно игнорировала предупреждения и допускала появление вредоносного ПО на своей платформе, принимая меры лишь после общественного резонанса. Случай с BlockBlasters не был исключением; это был неизбежный результат разложившейся культуры безопасности.

Окончательный вердикт: признан виновным по всем пунктам обвинения

Пусть факты говорят сами за себя.

  • Факт: Автоматизированные системы Valve одобрили сборку, содержавшую незначительное вредоносное ПО.
  • Факт: Служба поддержки Valve в течение трёх недель игнорировала прямые предупреждения от пострадавших.
  • Факт: Компания Valve приняла меры только после того, как сами хакеры удалили вредоносные файлы.
  • Факт: Официальное заявление компании Valve представляло собой преднамеренное искажение фактов, направленное на уклонение от ответственности.

Valve не просто допустила ошибку. Она солгала. Она скрыла свою халатность, защищала собственную прибыль, а расплачиваться за это пришлось пользователям. Доверие, которое сообщество возлагало на [REDACTED], было безвозвратно подорвано. Это была не ошибка — это было предательство.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings