Hak na CCleaner utjecao je na milijune računala diljem svijeta
CCleaner od Piriforma je najbolje ocijenjen softver za optimizaciju računala kojem vjeruju milijarde (ne milijuni!) korisnika diljem svijeta. To je potpuno legitiman alat za održavanje sustava s besprijekornom reputacijom. Nažalost, tvrtka je nedavno doživjela nešto vrlo neugodno i ono što je u javnosti poznato kao "napad na lanac opskrbe".
Čini se da su hakeri kompromitirali poslužitelje tvrtke kako bi ubacili zlonamjerni softver u legitimnu verziju računala alat za optimizaciju, koji je uspješno doveo zlonamjernu komponentu na više od 2,27 milijuna računala u cijelom svijetu.
Dana 18. rujna 2017. Paul Yung, potpredsjednik Piriforma, najavio je hakiranje u zabrinjavajućem blogu. VP se ispričao i naveo da su hakeri uspjeli kompromitirati CCleaner 5.33.6162 i CCleaner Cloud verziju 1.07.3191. Čini se da su ove verzije nezakonito modificirane za postavljanje stražnjih vrata na računalima korisnika.
Tvrtka je poduzela radnje kako bi uklonila poslužitelj koji je komunicirao s backdoorom. Čini se da bi zlonamjerni softver ubrizgan u softver za optimizaciju računala (poznat kao Nyetya ili Floxif Trojan) mogao prenijeti naziv računala, popis instalirani softver ili ažuriranja Windowsa, pokrenuti procesi, MAC adrese prva tri mrežna adaptera i još više podataka o računalu na udaljenom poslužitelju.
Zlonamjerni softver prikuplja podatke iz kompromitiranih sustava
U početku su stručnjaci otkrili samo nosivost prve faze. Prema analitičarima, virus CCleaner 5.33 bio je sposoban prenijeti nekoliko vrsta podataka u vlastitu bazu podataka, uključujući IP adrese žrtava, vrijeme na mreži, imena hostova, imena domena, popise aktivnih procesa, instalirane programe i još više. Prema riječima stručnjaka iz Talos Intelligence Group, "ova informacija bi bila sve što bi napadaču trebalo da pokrene kasniju fazu".
Međutim, malo kasnije su otkrili analitičari zlonamjernog softvera CCleaner virus’ funkcionalnost za preuzimanje tereta druge faze.
Čini se da drugi teret cilja samo na gigantske tehnološke tvrtke. Za otkrivanje ciljeva zlonamjerni softver koristi popis domena, kao što su:
- Htcgroup.corp;
- Am.sony.com;
- Cisco.com;
- Linksys;
- Test.com;
- Dlink.com;
- Ntdev.corp.microsoft.com.
Zapamtite da je to skraćeni popis domena. Nakon pristupa bazi podataka Command & Control, istraživači su otkrili najmanje 700.000 računala koja su odgovorila na poslužitelj i više od 20 računala zaraženih zlonamjernim softverom druge faze. Korisno opterećenje druge faze dizajnirano je kako bi hakerima omogućilo dublje uporište u sustavima tehnoloških tvrtki.
Uklonite CCleaner zlonamjerni softver i zaštitite svoju privatnost
Prema Piriformu, hakeri su uspjeli modificirati verziju CCleanera 5.33 prije nego što je lansirana. Verzija 5.33 objavljena je 15. kolovoza 2017., što znači da su kriminalci tog dana počeli zaraziti sustave. Navodno je distribucija prestala tek 15. rujna.
Iako neki stručnjaci preporučuju ažuriranje CCleanera na verziju 5.34, bojimo se da možda neće biti dovoljno za iskorjenjivanje backdoora iz vašeg sustava. Stručnjaci za 2-Spyware preporučuju vraćanje računala u stanje prije 15. kolovoza i pokretanje programa protiv zlonamjernog softvera. Također, kako bismo zaštitili svoje račune, preporučujemo promjenu svih zaporki pomoću sigurnog uređaja (kao što je telefon ili neko drugo računalo).