Gamifikacja lub inaczej grywalizacja, to dodawanie elementów gier do dowolnej czynności, w celu podniesienia jej atrakcyjności oraz zwiększenia liczby osób wykonujących tę czynność. W trakcie konferencji Semafor 2017, przedstawiony został pierwszy przypadek wykorzystania grywalizacji w złośliwym oprogramowaniu. O nietypowej aplikacji opowiedział Carl Leonard, przedstawiciel firmy Forcepoint.

W trakcie rutynowych obserwacji rozmów użytkowników pewnych ukrytych grup dyskusyjnych odkryto złośliwą aplikację, której popularność dynamicznie wzrastała. Okazało się, że aplikacja jest rozdawana za darmo przez osobę podającą się za jej autora. Przedstawicielom Forcepoint również udało się wejść w jej posiadanie. Poddano ją więc procesowi inżynierii wstecznej. W ten sposób odkryto, że kod zawiera listę ponad dwudziestu serwisów internetowych (politycznych i należących do grup mediowych), na które miał inicjować ataki DDoS.

Zobacz również:

• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom

W toku dalszego śledztwa udało się odkryć, że autor kodu prowadzi nawet kanał w serwisie YouTube, na którym umieszcza samouczki, zachęcające kolejne osoby do używania aplikacji. Niezwykłe okazało się natomiast to, że rosnąca popularność tego malware’u wynikała z „zaszycia” w nim właśnie elementów grywalizacji. Użytkownicy aplikacji mogli przystąpić do turnieju, w którym otrzymywali punkty za przeprowadzanie trwających przynajmniej 10 minut ataków DDoS na wskazane serwisy internetowe. Napastnicy skupiali się w nieoficjalnych ligach, by wspólnie zdobywać jak najwięcej punktów. Dla najlepszych przewidziane były nagrody w postaci dostępu do „lepszej i bardziej rozbudowanej wersji” malware’u. Turniej trwał mniej więcej sześć miesięcy, a pracownikom Forcepoint udało się pozyskać także drugą wersję aplikacji. W niej znaleźli natomiast pewną niespodziankę. Był nią backdoor, dzięki któremu popularyzator „gamifikowanego malware’u” mógł uzyskać dostęp do maszyn i plików nagrodzonych fanów grywalizacji.

Ostatecznym celem akcji nie było więc prowadzenie ataków DDoS ani prosta rozrywka hakerów. Był nim atak na osoby, które zaufały autorowi atrakcyjnego i rozdawanego za darmo narzędzia. Jak twierdzi Carl Leonard, sam atak, jak i oprogramowanie, przygotowane były bardzo profesjonalnie.