CCleaner-hakkerointi vaikutti miljooniin tietokoneisiin maailmanlaajuisesti
Piriformin CCleaner on huippuluokan PC-optimointiohjelmisto, johon miljardit (ei miljoonat!) käyttäjät luottavat maailmanlaajuisesti. Se on täysin laillinen järjestelmän ylläpitotyökalu, jolla on tahraton maine. Valitettavasti yritys koki äskettäin jotain erittäin epämiellyttävää ja mitä julkisesti kutsutaan "toimitusketjuhyökkäykseksi".
Näyttää siltä, että hakkerit ovat vaarantaneet yrityksen palvelimia ruiskuttaakseen haittaohjelmia tietokoneen lailliseen versioon optimointityökalu, joka onnistui laskeutumaan haitallisen komponentin yli 2,27 miljoonaan tietokoneeseen maailmanlaajuinen.
18. syyskuuta 2017 Paul Yung, Piriformin varapresidentti, ilmoitti hakkeroinnista huolestuttavassa blogiviestissä. VP pahoitteli ja totesi, että hakkerit onnistuivat vaarantamaan CCleaner 5.33.6162:n ja CCleaner Cloudin version 1.07.3191. Vaikuttaa siltä, että näitä versioita muutettiin laittomasti takaovien luomiseksi käyttäjien tietokoneisiin.
Yritys ryhtyi toimiin takaoven kanssa kommunikoineen palvelimen poistamiseksi. Näyttää siltä, että PC-optimointiohjelmistoon (tunnetaan nimellä Nyetya tai Floxif Trojan) syötetty haittaohjelma voisi siirtää tietokoneen nimen, luettelon asennetut ohjelmistot tai Windows-päivitykset, käynnissä olevat prosessit, kolmen ensimmäisen verkkosovittimen MAC-osoitteet ja vielä enemmän tietoja tietokoneesta etälaitteeseen palvelin.
Haittaohjelmat keräävät tietoja vaarantuneista järjestelmistä
Aluksi asiantuntijat löysivät vain ensimmäisen vaiheen hyötykuorman. Analyytikkojen mukaan CCleaner 5.33 -virus kykeni välittämään useita erilaisia tietoja omaan tietokantaansa, mukaan lukien uhrien IP-osoitteet, online-aika, isäntänimet, verkkotunnusten nimet, aktiivisten prosessien luettelot, asennetut ohjelmat ja vielä enemmän. Talos Intelligence Groupin asiantuntijoiden mukaan "tämä tieto olisi kaikki mitä hyökkääjä tarvitsee myöhemmän vaiheen hyötykuorman laukaisemiseksi".
Hieman myöhemmin haittaohjelmaanalyytikot paljastivat kuitenkin CCleaner virus'-toiminto toisen vaiheen hyötykuorman lataamiseen.
Näyttää siltä, että toinen hyötykuorma kohdistuu vain jättiläisiin teknologiayrityksiin. Kohteiden havaitsemiseen haittaohjelma käyttää verkkotunnusluetteloa, kuten:
- Htcgroup.corp;
- Am.sony.com;
- Cisco.com;
- Linksys;
- Test.com;
- Dlink.com;
- Ntdev.corp.microsoft.com.
Muista, että se on lyhennetty luettelo verkkotunnuksista. Päästyään Command & Control -tietokantaan tutkijat löysivät ainakin 700 000 tietokonetta, jotka vastasivat palvelimelle, ja yli 20 konetta, jotka olivat saaneet toisen vaiheen haittaohjelmia. Toisen vaiheen hyötykuorma on suunniteltu antamaan hakkereille mahdollisuus päästä syvemmälle teknologiayritysten järjestelmiin.
Poista CCleaner-haittaohjelma ja suojaa yksityisyyttäsi
Piriformin mukaan hakkerit onnistuivat muokkaamaan CCleaner 5.33 -versiota ennen sen julkaisua. 5.33-versio julkaistiin 15. elokuuta 2017, mikä tarkoittaa, että rikolliset alkoivat tartuttaa järjestelmiä sinä päivänä. Raporttien mukaan jakelu pysähtyi vasta 15. syyskuuta.
Vaikka jotkut asiantuntijat suosittelevat CCleanerin päivittämistä versioon 5.34, pelkäämme, että se ei ehkä riitä poistamaan takaovea järjestelmästäsi. 2-Spyware-asiantuntijat suosittelevat tietokoneen palauttamista 15. elokuuta edeltävään tilaan ja haittaohjelmien torjuntaohjelman käyttöä. Tilisi suojaamiseksi suosittelemme myös kaikkien salasanasi vaihtamista turvallisella laitteella (kuten puhelimella tai toisella tietokoneella).