„CCleaner“ įsilaužimas paveikė milijonus kompiuterių visame pasaulyje
Piriform CCleaner yra geriausiai įvertinta kompiuterių optimizavimo programinė įranga, kuria pasitiki milijardai (ne milijonai!) vartotojų visame pasaulyje. Tai visiškai teisėtas sistemos priežiūros įrankis, turintis nepriekaištingą reputaciją. Deja, bendrovė neseniai patyrė kažką labai nemalonaus ir tai, kas viešai žinoma kaip „tiekimo grandinės ataka“.
Atrodo, kad įsilaužėliai sukompromitavo įmonės serverius, kad įleistų kenkėjiškų programų į teisėtą kompiuterio versiją optimizavimo įrankis, kuris sėkmingai nukreipė kenkėjišką komponentą į daugiau nei 2,27 mln visame pasaulyje.
2017 m. rugsėjo 18 d. Paul Yung, Piriform viceprezidentas, paskelbė apie įsilaužimą nerimą keliančiame tinklaraščio įraše. VP atsiprašė ir pareiškė, kad įsilaužėliams pavyko sukompromituoti CCleaner 5.33.6162 ir CCleaner Cloud 1.07.3191 versiją. Atrodo, kad šios versijos buvo neteisėtai modifikuotos, kad vartotojų kompiuteriuose būtų sukurtos užpakalinės durys.
Bendrovė ėmėsi veiksmų, kad pašalintų serverį, kuris bendravo su užpakalinėmis durimis. Panašu, kad į kompiuterio optimizavimo programinę įrangą (žinoma kaip Nyetya arba Floxif Trojan) įvesta kenkėjiška programa gali perduoti kompiuterio pavadinimą, sąrašą įdiegta programinė įranga arba Windows naujinimai, vykdomi procesai, pirmųjų trijų tinklo adapterių MAC adresai ir dar daugiau duomenų apie kompiuterį į nuotolinį įrenginį serveris.
Kenkėjiška programa renka duomenis iš pažeistų sistemų
Iš pradžių ekspertai atrado tik pirmosios pakopos naudingąją apkrovą. Anot analitikų, CCleaner 5.33 virusas į savo duomenų bazę galėjo perduoti kelių tipų duomenis, įskaitant aukų IP adresus, prisijungimo laiką, pagrindinio kompiuterio pavadinimus, domenų pavadinimus, aktyvių procesų sąrašus, įdiegtas programas ir dar daugiau. Pasak „Talos Intelligence Group“ ekspertų, „ši informacija būtų viskas, ko užpuolikui prireiks vėlesnio etapo naudingojo krovinio paleidimui“.
Tačiau šiek tiek vėliau kenkėjiškų programų analitikai atskleidė CCleaner virusas“ funkcija, skirta antrojo etapo naudingosioms apkrovoms atsisiųsti.
Atrodo, kad antrasis krovinys skirtas tik milžiniškoms technologijų įmonėms. Kad aptiktų taikinius, kenkėjiška programa naudoja domenų sąrašą, pvz.:
- Htcgroup.corp;
- Am.sony.com;
- Cisco.com;
- Linksys;
- Test.com;
- Dlink.com;
- Ntdev.corp.microsoft.com.
Atminkite, kad tai sutrumpintas domenų sąrašas. Pasiekę Command & Control duomenų bazę, mokslininkai aptiko mažiausiai 700 000 kompiuterių, kurie reagavo į serverį, ir daugiau nei 20 mašinų, užkrėstų antrosios pakopos kenkėjiška programine įranga. Antrojo etapo naudingoji apkrova sukurta taip, kad įsilaužėliai galėtų giliau įsitvirtinti technologijų įmonių sistemose.
Pašalinkite CCleaner kenkėjiškas programas ir apsaugokite savo privatumą
Pasak Piriform, įsilaužėliai sugebėjo modifikuoti CCleaner 5.33 versiją prieš ją paleidžiant. 5.33 versija buvo išleista 2017 m. rugpjūčio 15 d., o tai reiškia, kad tą dieną nusikaltėliai pradėjo užkrėsti sistemas. Pranešama, kad platinimas sustojo tik rugsėjo 15 d.
Nors kai kurie ekspertai rekomenduoja atnaujinti „CCleaner“ iki 5.34 versijos, baiminamės, kad to gali nepakakti, kad pašalintume užpakalines duris iš sistemos. 2-Spyware ekspertai rekomenduoja atkurti kompiuterio būseną iki rugpjūčio 15 d. ir paleisti anti-kenkėjiškų programų programą. Be to, siekiant apsaugoti paskyras, rekomenduojame pakeisti visus slaptažodžius naudojant saugų įrenginį (pvz., telefoną ar kitą kompiuterį).