CCleaneri häkkimine mõjutas miljoneid arvuteid kogu maailmas
Piriformi CCleaner on kõrgeima reitinguga personaalarvutite optimeerimise tarkvara, mida usaldavad miljardid (mitte miljonid!) kasutajad kogu maailmas. See on täiesti seaduslik süsteemihooldustööriist, millel on laitmatu maine. Kahjuks koges ettevõte hiljuti midagi väga ebameeldivat ja seda, mida avalikult tuntakse kui "tarneahela rünnakut".
Näib, et häkkerid kompromiteerisid ettevõtte servereid, et süstida pahavara arvuti legaalsesse versiooni optimeerimistööriist, mis viis pahatahtliku komponendi edukalt enam kui 2,27 miljonile arvutile kogu maailmas.
18. septembril 2017 teatas Piriformi asepresident Paul Yung häkkimisest murettekitavas blogipostituses. Asepresident vabandas ja teatas, et häkkeritel õnnestus CCleaner 5.33.6162 ja CCleaner Cloudi versioon 1.07.3191 kahjustada. Näib, et neid versioone muudeti ebaseaduslikult, et seadistada kasutajate arvutites tagauksed.
Ettevõte võttis kasutusele meetmed tagauksega suhtleva serveri mahavõtmiseks. Näib, et arvuti optimeerimistarkvarasse (tuntud kui Nyetya või Floxif Trojan) sisestatud pahavara võib edastada arvuti nime, installitud tarkvara või Windowsi värskendused, töötavad protsessid, esimese kolme võrguadapteri MAC-aadressid ja veelgi rohkem andmeid arvuti kohta kaugseadmesse server.
Pahavara kogub andmeid ohustatud süsteemidest
Alguses avastasid eksperdid ainult esimese etapi kandevõime. Analüütikute sõnul oli CCleaner 5.33 viirus võimeline oma andmebaasi edastama mitut tüüpi andmeid, sealhulgas ohvrite IP-aadressid, võrguaeg, hostinimed, domeeninimed, aktiivsete protsesside loendid, installitud programmid ja isegi rohkem. Talos Intelligence Groupi ekspertide sõnul on see teave kõik, mida ründaja vajab hilisemas etapis kasuliku koorma käivitamiseks.
Veidi hiljem aga paljastasid pahavara analüütikud CCleaner viirusfunktsiooni teise etapi kasuliku koormuse allalaadimiseks.
Näib, et teine koormus on suunatud ainult hiiglaslikele tehnoloogiaettevõtetele. Sihtmärkide tuvastamiseks kasutab pahavara domeenide loendit, näiteks:
- Htcgroup.corp;
- Am.sony.com;
- Cisco.com;
- Linksys;
- Test.com;
- Dlink.com;
- Ntdev.corp.microsoft.com.
Pidage meeles, et see on domeenide lühendatud loend. Pärast Command & Controli andmebaasi juurdepääsu avastasid teadlased vähemalt 700 000 arvutit, mis vastasid serverile, ja rohkem kui 20 masinat, mis olid nakatunud teise astme pahavaraga. Teise etapi kasulik koormus on loodud selleks, et häkkerid saaksid tehnoloogiaettevõtete süsteemides sügavamalt jalad alla saada.
Eemaldage CCleaneri pahavara ja kaitske oma privaatsust
Piriformi andmetel õnnestus häkkeritel CCleaner 5.33 versiooni enne selle käivitamist muuta. 5.33 versioon ilmus 15. augustil 2017, mis tähendab, et kurjategijad hakkasid sel päeval süsteeme nakatama. Teadaolevalt lõpetati levitamine alles 15. septembril.
Kuigi mõned eksperdid soovitavad värskendada CCleaneri versioonile 5.34, kardame, et sellest ei pruugi piisata, kui süsteemist tagauks välja juurida. 2-Spyware eksperdid soovitavad taastada arvuti 15. augusti eelse oleku ja käivitada pahavaratõrjeprogramm. Samuti soovitame oma kontode kaitsmiseks muuta kõik oma paroolid turvalise seadme (nt telefoni või mõne muu arvuti) abil.