前一陣子,有朋友給我推薦了一個叫做《 弈劍行 》的遊戲。
這遊戲以古代冷兵器戰鬥為主要玩法,主打的是玩家對戰,根據玩家划動的方向,會出現不同的武器招式和劍招。
我當時覺得這個遊戲雖然看起來比較簡陋,但是賣相相當不錯,要是之後多加點武器,估計還挺好玩的。
後來,我又查了查製作組的資訊,發現這個居然是一個獨立團隊自己做的遊戲,整個公司也沒幾個人。
我這就把這個遊戲記下了,準備等上線的時候再玩玩看。
結果前幾天一直在看奧運比賽就把這個事忘了,今天突然想起來,就想問問我朋友這個遊戲怎麼樣,好玩嗎。
我朋友卻和我說,你不知道嗎?這遊戲被駭客攻擊了,遊戲退款了,而且把對戰也改成單機了,不知道以後什麼樣呢,估計是要涼了。
我一聽他這麼說,趕緊上 TapTap 看這個遊戲的頁面,卻看到了這個遊戲製作人發的公告。
在公告裡面,他說遊戲 8 月 6 日開服之後,遭到了駭客的攻擊,戰鬥伺服器無法使用,目前已經癱瘓。
他還說 「 寧為玉碎,不為瓦全。 」 ,駭客向他勒索金錢,因為不願意向駭客妥協,也不願意讓玩家的體驗損失,所以他決定退款所有玩家開服至今的充值費用,然後將遊戲改成單機版,等伺服器問題解決了之後再出之後的更新內容。
最後他說: 「 可惜閉關鑄劍三載,出世已無江湖。 」
話語之中,盡顯悲涼。
其實,這個遊戲從製作一開始就是一對戰為主要賣點的,改成單機遊戲,就要製作 AI ,製作關卡,還有 NPC 等等內容,想想我都替製作人頭疼,這可以說是完全重做了。
製作人做出這種決定,恐怕也是下了很大決心。
為他感到遺憾和惋惜的同時,這個事也引起了我的好奇,這種明顯違法勒索的事情,難道就沒有法律能夠制裁他們嗎?
結果,不查不知道,一查嚇一跳,原來這個駭客是一個有規模的組織,他們自稱 ACCN ,專門針對這些中小遊戲和獨立遊戲,已經攻擊了好多次了。
他們專門找 TapTap 排行榜上排名較高的帶著聯網屬性的獨立遊戲,等著他們開服的時候進行大規模的 DDoS 攻擊,並勒索金錢,如果不交錢就會一直攻擊伺服器。
很多遊戲都被這個組織攻擊過,他們的方法通常是會提前發佈預告,告訴這些遊戲製作者,我要攻擊你們了,請給我打錢。
要是遊戲開發商置之不理,等到一上線的時候,他們就會發動攻擊,然後去找開發商和他們說,想我們不攻擊了?那就打錢吧。
對於遊戲來說,開服的那一兩週時間是最重要的時間點,有些遊戲甚至百分之五十以上的收入都來自發布的那一週,可想而知,如果要是這兩週伺服器掛掉了,那對於遊戲公司的影響非常大。
你可能會問了,既然都事先知道了,那這個攻擊就沒有辦法防範嗎?
很遺憾,對於小公司來說,這個事情是很難防範的。
這就涉及到 DDoS 的攻擊原理了,用一個不大恰當的比喻吧,如果說正常的遊戲開服是你開了一個飯店,裡面的玩家就是客人的話。DDoS 就是弄了一堆假客人在你的店裡坐著不點餐。
或者直接找一幫人堵在你店門口,讓你普通的顧客根本進不去。
這些 「 假的顧客 」 就是駭客組織們掌握的 「 肉雞 」 。原來的 「 肉雞 」 只有 PC ,這些年由於 loT 設備越來越多,駭客組織的 「 肉雞 」 種類也變多了。
對於大公司來說,可以採用找保安啊,找人識別客人啊這些辦法。
可是對於小公司或者獨立開發者來說,他們請不起保安,也沒有這些識別的機器,就只能任由他們進行攻擊。
可能又有人說了,那現在不都用阿里雲,騰訊雲什麼的嗎?這些雲平臺伺服器應該能防護吧?
當然可以防護啦,但是要交錢。。。
比如阿里雲的這個防護,最便宜的也要 20000 一個月起,騰訊雲的價格也差不多,最便宜也是一個月好幾萬。
對於大型遊戲公司來說,當然可以直接一年 100 萬買起來,反正不差那點錢,但是對於小公司,甚至個人開發者來說,這個錢甚至可能比他們賺的錢還多。。。根本交不起。
這兩年,這個組織越發的猖狂,國內的遊戲公司只要沒有大廠在後面罩著,幾乎都被攻擊過,他們的攻擊範圍也從個人開發者開始擴散到中型遊戲公司。
曾經制作《 戰艦少女 R 》的幻萌網路,新作《 四葉草劇場》上線的時候一樣被攻擊了。
甚至說有大廠商罩著也不好使了,英雄互娛發行的《 影之刃 3 》,嗶哩嗶哩發行的《 大王不高興》這些遊戲都被駭客組織攻擊了。
因為 DDoS 攻擊本質上其實是一種花錢買量的攻擊方法,他們的膽子越來越大,攻擊的廠商越來越多,也就說明他們越來越有錢了。
對付這些團隊,即使是騰訊雲這樣的安全團隊也很費勁。
2019 年的時候騰訊雲安全就發過一篇文章講自己的團隊是怎麼受到一家遊戲廠商的委託和 ACCN 這個團體對抗的。
文章裡面說 「 ACCN 的攻擊一波接著一波,而且方式越來越多,攻擊規模也越來越大,攻擊形態也進化了,投入的資源超過了百萬級別 」 。
整個拉鋸戰的過程持續了 9 個小時,最後是 ACCN 妥協了,騰訊的團隊獲勝了。
但是想到 ACCN 的攻擊投入資源都超過百萬級別,那找騰訊來買防護的錢,肯定也一樣少不了了,這個肯定是小公司無法承擔的。
《 弈劍行 》出事之後,我去翻了翻製作人的以前發的公告。
就在開服的前一天,他還在說自己當年在小公司做 PM 覺得無趣,所以跳出來自己做遊戲,做了三年,經過無數測試,終於把遊戲做出來了,非常開心。
他還在暢想著以後把十八般兵器都作出來,每個都做出來招式,還在暢想作出來宗門系統,賽季系統,江湖救急,年度正邪戰。。。
這些系統隨著遊戲改成單機制,基本上是不可能實現了。即使這樣他還在說這是因為我們太菜了,沒做好防護。
說實話,看到這些話,我確實有點繃不住了。三年心血,毀於一旦,想必製作人肯定非常難受吧。
這種網路黑產其實在全球各個地區都很氾濫。現在中國淘寶、閒魚上你甚至能搜尋到網路黑產,還要靠人力舉報才能下架。
就在幾個月前, TapTap 、心動網路、鷹角網路、莉莉絲網路、巨人網路和米哈遊網路六家上海遊戲公司和上海司法部門一起專門成立了反網路黑灰產聯盟,針對的其中一項很重要的就是 DDoS 攻擊。
而且就這幾年,咱們的網安大隊也一直在針對網路黑產公司有專項行動。2019 年底的行動上,我們網安大隊就針對DDoS攻擊抓獲了 379 名犯罪嫌疑人, 清理了 7268 臺主機。
說實話,就像心動網路的 CEO 黃一孟所說的, ” 這些自稱台灣駭客的人,也不一定就真的是什麼高深的台灣駭客組織。實際可能就是個躲在電腦後,上著淘寶買 DDOS ,靠著灰產買他人銀行卡收錢的小屁孩。 ”
撰文:無頭 編輯:面線
圖片資料來源:
決戰 9 小時、產品上線的危機時刻、騰訊雲安全、
如何看待手遊《 弈劍行 》上線一天,被駭客組織 ACCN 攻擊敲詐到閉服?國內小型遊戲製作商該如何應對?知乎@黃一孟的回答、
TapTap 等 6 家遊戲廠商攜手司法部門,成立反網路黑灰產聯盟,預言家遊報、弈劍行、 TapTap
