2,27 მილიონმა მომხმარებელმა დააინსტალირა CCleaner-ის კომპრომეტირებული ვერსია. თქვენ ერთ-ერთი მათგანი ხართ?

MiscellaneaDec 20, 2021
click fraud protection

CCleaner-ის ჰაკერმა გავლენა მოახდინა მილიონობით კომპიუტერზე მთელს მსოფლიოში

CCleaner 5.33 ვირუსი

CCleaner by Piriform არის ყველაზე რეიტინგული კომპიუტერის ოპტიმიზაციის პროგრამული უზრუნველყოფა, რომელსაც ენდობა მილიარდობით (არა მილიონობით!) მომხმარებელი მთელ მსოფლიოში. ეს არის სრულიად ლეგიტიმური სისტემის შენარჩუნების ინსტრუმენტი უნაკლო რეპუტაციით. სამწუხაროდ, კომპანიამ ცოტა ხნის წინ განიცადა რაღაც ძალიან უსიამოვნო და ის, რაც საჯაროდ ცნობილია, როგორც "მომარაგების ჯაჭვის შეტევა".

როგორც ჩანს, ჰაკერებმა დაარღვიეს კომპანიის სერვერები კომპიუტერის ლეგიტიმურ ვერსიაში მავნე პროგრამის შეყვანისთვის ოპტიმიზაციის ინსტრუმენტი, რომელმაც წარმატებით დააყენა მავნე კომპონენტი 2.27 მილიონზე მეტ კომპიუტერზე მთელ მსოფლიოში.

2017 წლის 18 სექტემბერს, პოლ იუნგმა, Piriform-ის ვიცე-პრეზიდენტმა, ბლოგ-პოსტში გამოაცხადა ჰაკინგი. VP-მა ბოდიში მოიხადა და განაცხადა, რომ ჰაკერებმა მოახერხეს CCleaner 5.33.6162 და CCleaner Cloud ვერსიის 1.07.3191 კომპრომეტირება. როგორც ჩანს, ეს ვერსიები არალეგალურად იქნა მოდიფიცირებული მომხმარებლების კომპიუტერებზე უკანა კარების დასაყენებლად.

კომპანიამ მიიღო ზომები, რათა ჩამოეშალა სერვერი, რომელიც აკავშირებდა უკანა კართან. როგორც ჩანს, მავნე პროგრამას, რომელიც შეყვანილია კომპიუტერის ოპტიმიზაციის პროგრამულ უზრუნველყოფაში (ცნობილია როგორც Nyetya ან Floxif Trojan) შეუძლია გადაიტანოს კომპიუტერის სახელი, სია. დაინსტალირებული პროგრამული უზრუნველყოფა ან Windows-ის განახლებები, გაშვებული პროცესები, პირველი სამი ქსელური ადაპტერის MAC მისამართები და კიდევ უფრო მეტი მონაცემები კომპიუტერის შესახებ დისტანციურ პულტზე სერვერი.

მავნე პროგრამები აგროვებს მონაცემებს კომპრომეტირებული სისტემებიდან

თავდაპირველად, ექსპერტებმა აღმოაჩინეს მხოლოდ პირველი ეტაპის დატვირთვა. ანალიტიკოსების აზრით, CCleaner 5.33 ვირუსს შეეძლო რამდენიმე ტიპის მონაცემების საკუთარ მონაცემთა ბაზაში გადაცემა. მათ შორის მსხვერპლის IP მისამართები, ონლაინ დრო, ჰოსტების სახელები, დომენის სახელები, აქტიური პროცესების სიები, დაინსტალირებული პროგრამები და უფრო მეტიც. Talos Intelligence Group-ის ექსპერტების აზრით, „ეს ინფორმაცია იქნება ყველაფერი, რაც თავდამსხმელს დასჭირდება შემდგომი ეტაპების დატვირთვისთვის“.

თუმცა, ცოტა მოგვიანებით მავნე პროგრამის ანალიტიკოსებმა გამოავლინეს CCleaner ვირუსიმეორე ეტაპის დატვირთვის ფუნქციონირება.

როგორც ჩანს, მეორე დატვირთვა მხოლოდ გიგანტურ ტექნიკურ კომპანიებს ეხება. სამიზნეების აღმოსაჩენად, მავნე პროგრამა იყენებს დომენების ჩამონათვალს, როგორიცაა:

  • Htcgroup.corp;
  • Am.sony.com;
  • Cisco.com;
  • Linksys;
  • Test.com;
  • Dlink.com;
  • Ntdev.corp.microsoft.com.

გახსოვდეთ, რომ ეს არის დომენების შემოკლებული სია. Command & Control მონაცემთა ბაზაში წვდომის შემდეგ, მკვლევარებმა აღმოაჩინეს მინიმუმ 700,000 კომპიუტერი, რომლებიც პასუხობდნენ სერვერს და 20-ზე მეტი მანქანა დაინფიცირებული მეორე ეტაპის მავნე პროგრამით. მეორე ეტაპის დატვირთვა შექმნილია იმისთვის, რომ ჰაკერებს უფრო ღრმად მოეკიდონ ტექნიკური კომპანიების სისტემებს.

წაშალეთ CCleaner მავნე პროგრამა და დაიცავით თქვენი კონფიდენციალურობა

Piriform-ის თანახმად, ჰაკერებმა მოახერხეს CCleaner 5.33 ვერსიის შეცვლა, სანამ ის გაშვებულიყო. 5.33 ვერსია გამოვიდა 2017 წლის 15 აგვისტოს, რაც იმას ნიშნავს, რომ კრიმინალებმა დაიწყეს სისტემების დაინფიცირება იმ დღეს. გავრცელებული ინფორმაციით, დისტრიბუცია მხოლოდ 15 სექტემბერს შეწყდა.

მიუხედავად იმისა, რომ ზოგიერთი ექსპერტი გვირჩევს CCleaner-ის განახლებას 5.34 ვერსიამდე, ჩვენ ვშიშობთ, რომ ეს შეიძლება არ იყოს საკმარისი თქვენი სისტემის უკანა კარის ამოღება. 2-Spyware ექსპერტები გირჩევენ აღადგინოთ თქვენი კომპიუტერი 15 აგვისტოს წინა მდგომარეობაზე და გაუშვათ მავნე პროგრამების საწინააღმდეგო პროგრამა. ასევე, თქვენი ანგარიშების დასაცავად, გირჩევთ შეცვალოთ ყველა თქვენი პაროლი უსაფრთხო მოწყობილობის გამოყენებით (როგორიცაა თქვენი ტელეფონი ან სხვა კომპიუტერი).