Το hack του CCleaner επηρέασε εκατομμύρια υπολογιστές σε όλο τον κόσμο
Το CCleaner από την Piriform είναι ένα κορυφαίο λογισμικό βελτιστοποίησης υπολογιστή που το εμπιστεύονται δισεκατομμύρια (όχι εκατομμύρια!) χρήστες παγκοσμίως. Είναι ένα απολύτως νόμιμο εργαλείο συντήρησης συστήματος με πεντακάθαρη φήμη. Δυστυχώς, η εταιρεία βίωσε πρόσφατα κάτι πολύ δυσάρεστο και αυτό που είναι δημοσίως γνωστό ως «επίθεση εφοδιαστικής αλυσίδας».
Φαίνεται ότι χάκερ παραβίασαν τους διακομιστές της εταιρείας για να εισάγουν κακόβουλο λογισμικό στη νόμιμη έκδοση του υπολογιστή εργαλείο βελτιστοποίησης, το οποίο προσγείωσε με επιτυχία το κακόβουλο στοιχείο σε περισσότερους από 2,27 εκατομμύρια υπολογιστές Παγκόσμιος.
Στις 18 Σεπτεμβρίου 2017, ο Paul Yung, ο αντιπρόεδρος της Piriform, ανακοίνωσε το χακάρισμα σε μια ανησυχητική ανάρτηση ιστολογίου. Ο Αντιπρόεδρος ζήτησε συγγνώμη και δήλωσε ότι οι χάκερ κατάφεραν να παραβιάσουν το CCleaner 5.33.6162 και το CCleaner Cloud έκδοση 1.07.3191. Φαίνεται ότι αυτές οι εκδόσεις τροποποιήθηκαν παράνομα για να δημιουργήσουν backdoors στους υπολογιστές των χρηστών.
Η εταιρεία έλαβε μέτρα για να καταργήσει τον διακομιστή που επικοινωνούσε με την κερκόπορτα. Φαίνεται ότι το κακόβουλο λογισμικό που εισάγεται στο λογισμικό βελτιστοποίησης υπολογιστή (γνωστό ως Nyetya ή Floxif Trojan) θα μπορούσε να μεταφέρει το όνομα του υπολογιστή, λίστα εγκατεστημένο λογισμικό ή ενημερώσεις Windows, εκτελούμενες διαδικασίες, διευθύνσεις MAC των τριών πρώτων προσαρμογέων δικτύου και ακόμη περισσότερα δεδομένα σχετικά με τον υπολογιστή σε τηλεχειριστήριο υπηρέτης.
Το κακόβουλο λογισμικό συλλέγει δεδομένα από παραβιασμένα συστήματα
Στην αρχή, οι ειδικοί ανακάλυψαν μόνο το ωφέλιμο φορτίο του πρώτου σταδίου. Σύμφωνα με τους αναλυτές, ο ιός CCleaner 5.33 ήταν ικανός να μεταδίδει διάφορους τύπους δεδομένων στη δική του βάση δεδομένων, συμπεριλαμβανομένων των διευθύνσεων IP των θυμάτων, του χρόνου σύνδεσης, των ονομάτων κεντρικών υπολογιστών, των ονομάτων τομέα, των λιστών ενεργών διαδικασιών, των εγκατεστημένων προγραμμάτων και ακόμα περισσότερο. Σύμφωνα με ειδικούς της Talos Intelligence Group, «αυτές οι πληροφορίες θα ήταν όλα όσα θα χρειαζόταν ένας εισβολέας για να ξεκινήσει ένα ωφέλιμο φορτίο μεταγενέστερου σταδίου».
Ωστόσο, λίγο αργότερα αναλυτές κακόβουλου λογισμικού αποκάλυψαν Ιός CCleanerλειτουργικότητα για λήψη του δεύτερου σταδίου ωφέλιμου φορτίου.
Φαίνεται ότι το δεύτερο ωφέλιμο φορτίο στοχεύει μόνο μεγάλες εταιρείες τεχνολογίας. Για τον εντοπισμό των στόχων, το κακόβουλο λογισμικό χρησιμοποιεί μια λίστα τομέων, όπως:
- Htcgroup.corp;
- Am.sony.com;
- Cisco.com;
- Linksys;
- Test.com;
- Dlink.com;
- Ntdev.corp.microsoft.com.
Να θυμάστε ότι είναι μια συντομευμένη λίστα τομέων. Μετά την πρόσβαση στη βάση δεδομένων Command & Control, οι ερευνητές ανακάλυψαν τουλάχιστον 700.000 υπολογιστές που ανταποκρίθηκαν στον διακομιστή και περισσότερα από 20 μηχανήματα μολυσμένα με κακόβουλο λογισμικό δεύτερου σταδίου. Το ωφέλιμο φορτίο δεύτερου σταδίου έχει σχεδιαστεί για να επιτρέπει στους χάκερ να αποκτήσουν βαθύτερη βάση στα συστήματα των εταιρειών τεχνολογίας.
Καταργήστε το κακόβουλο λογισμικό CCleaner και προστατέψτε το απόρρητό σας
Σύμφωνα με την Piriform, οι χάκερ κατάφεραν να τροποποιήσουν την έκδοση CCleaner 5.33 προτού κυκλοφορήσει. Η έκδοση 5.33 κυκλοφόρησε στις 15 Αυγούστου 2017, που σημαίνει ότι οι εγκληματίες άρχισαν να μολύνουν συστήματα εκείνη την ημέρα. Σύμφωνα με πληροφορίες, η διανομή σταμάτησε μόνο στις 15 Σεπτεμβρίου.
Αν και ορισμένοι ειδικοί συνιστούν την ενημέρωση του CCleaner στην έκδοση 5.34, φοβόμαστε ότι μπορεί να μην είναι αρκετό για να αφαιρέσετε το backdoor από το σύστημά σας. 2-Εμπειρογνώμονες του Spyware συνιστούν να επαναφέρετε τον υπολογιστή σας στην κατάσταση πριν από τις 15 Αυγούστου και να εκτελέσετε ένα πρόγραμμα κατά του κακόβουλου λογισμικού. Επίσης, για την προστασία των λογαριασμών σας, συνιστούμε να αλλάξετε όλους τους κωδικούς πρόσβασής σας χρησιμοποιώντας μια ασφαλή συσκευή (όπως το τηλέφωνό σας ή άλλον υπολογιστή).