Хакването на CCleaner засегна милиони компютри по целия свят
CCleaner от Piriform е софтуер за оптимизация на компютър с най-висок рейтинг, на който се доверяват милиарди (не милиони!) потребители по целия свят. Това е напълно легитимен инструмент за поддръжка на системата с безупречна репутация. За съжаление, компанията наскоро преживя нещо много неприятно и това, което е публично известно като „атака на веригата за доставки“.
Изглежда, че хакерите са компрометирали сървърите на компанията, за да инжектират зловреден софтуер в легитимната версия на компютъра инструмент за оптимизация, който успешно кацна злонамерения компонент на повече от 2,27 милиона компютри в световен мащаб.
На 18 септември 2017 г. Пол Юнг, вицепрезидент на Piriform, обяви хака в тревожна публикация в блога. Вицепрезидентът се извини и заяви, че хакерите са успели да компрометират CCleaner 5.33.6162 и CCleaner Cloud версия 1.07.3191. Изглежда, че тези версии са били незаконно модифицирани, за да настроят бекдори на компютрите на потребителите.
Компанията предприе действия за премахване на сървъра, който комуникира с бекдора. Изглежда, че злонамереният софтуер, инжектиран в софтуера за оптимизация на компютъра (известен като Nyetya или Floxif Trojan), може да прехвърли името на компютъра, списък с инсталиран софтуер или актуализации на Windows, работещи процеси, MAC адреси на първите три мрежови адаптера и още повече данни за компютъра към дистанционно сървър.
Зловредният софтуер събира данни от компрометирани системи
Първоначално експертите откриха само първия етап на полезен товар. Според анализатори вирусът CCleaner 5.33 е бил в състояние да предава няколко типа данни към собствената си база данни, включително IP адреси на жертвите, онлайн време, имена на хостове, имена на домейни, списъци с активни процеси, инсталирани програми и дори повече. Според експерти от Talos Intelligence Group, „тази информация би била всичко, което нападателят би трябвало да стартира, за да стартира полезен товар на по-късен етап“.
Въпреки това, малко по-късно анализатори на зловреден софтуер разкриха CCleaner вирус’ функционалност за изтегляне на втория етап на полезен товар.
Изглежда, че вторият полезен товар е насочен само към гигантски технологични компании. За да открие целите, зловредният софтуер използва списък с домейни, като например:
- Htcgroup.corp;
- Am.sony.com;
- Cisco.com;
- Linksys;
- Test.com;
- Dlink.com;
- Ntdev.corp.microsoft.com.
Не забравяйте, че това е съкратен списък с домейни. След достъп до базата данни Command & Control, изследователите откриха най-малко 700 000 компютъра, които отговориха на сървъра, и повече от 20 машини, заразени със зловреден софтуер от втория етап. Полезният товар от втория етап е предназначен да позволи на хакерите да получат по-дълбока опора в системите на технологичните компании.
Премахнете зловреден софтуер CCleaner и защитете поверителността си
Според Piriform, хакерите са успели да модифицират версията на CCleaner 5.33, преди да бъде пусната. Версията 5.33 беше пусната на 15 август 2017 г., което означава, че престъпниците започнаха да заразяват системи в този ден. Съобщава се, че разпространението е спряно само на 15 септември.
Въпреки че някои експерти препоръчват актуализиране на CCleaner до версия 5.34, ние се страхуваме, че може да не е достатъчно за изваждане на бекдора от вашата система. Експертите от 2-Spyware препоръчват да възстановите компютъра си до състояние преди 15 август и да стартирате програма за защита от злонамерен софтуер. Освен това, за да защитите вашите акаунти, препоръчваме да промените всичките си пароли с помощта на безопасно устройство (като телефон или друг компютър).