Hack CCleaner ovplyvnil milióny počítačov po celom svete
CCleaner od Piriform je najlepšie hodnotený softvér na optimalizáciu PC, ktorému dôverujú miliardy (nie milióny!) používateľov na celom svete. Je to úplne legitímny nástroj na údržbu systému s nepoškvrnenou povesťou. Bohužiaľ, spoločnosť nedávno zažila niečo veľmi nepríjemné a to, čo je verejne známe ako „útok dodávateľského reťazca“.
Zdá sa, že hackeri kompromitovali servery spoločnosti, aby vložili malvér do legitímnej verzie počítača optimalizačný nástroj, ktorý úspešne vysadil škodlivý komponent na viac ako 2,27 miliónoch počítačov na celom svete.
18. septembra 2017 Paul Yung, viceprezident Piriform, oznámil hack v znepokojujúcom blogovom príspevku. VP sa ospravedlnil a uviedol, že hackerom sa podarilo kompromitovať CCleaner 5.33.6162 a CCleaner Cloud verzie 1.07.3191. Zdá sa, že tieto verzie boli nezákonne upravené tak, aby na počítačoch používateľov nastavili zadné vrátka.
Spoločnosť podnikla kroky na odstránenie servera, ktorý komunikoval so zadnými vrátkami. Zdá sa, že malvér vložený do softvéru na optimalizáciu počítača (známy ako Nyetya alebo Floxif Trojan) by mohol preniesť názov počítača, zoznam nainštalovaný softvér alebo aktualizácie systému Windows, spustené procesy, MAC adresy prvých troch sieťových adaptérov a ešte viac údajov o počítači na diaľku server.
Malvér zhromažďuje údaje z napadnutých systémov
Odborníci najskôr objavili len náklad prvého stupňa. Podľa analytikov bol vírus CCleaner 5.33 schopný prenášať niekoľko typov údajov do vlastnej databázy, vrátane IP adries obetí, času online, názvov hostiteľov, názvov domén, zoznamov aktívnych procesov, nainštalovaných programov a ešte viac. Podľa expertov z Talos Intelligence Group by „tieto informácie boli všetko, čo by útočník potreboval na spustenie nákladu v neskoršej fáze“.
O niečo neskôr však analytici malvéru odhalili vírus CCleaner“ na stiahnutie užitočného zaťaženia druhej fázy.
Zdá sa, že druhý náklad sa zameriava iba na obrovské technologické spoločnosti. Na zistenie cieľov používa malvér zoznam domén, ako napríklad:
- Htcgroup.corp;
- Am.sony.com;
- Cisco.com;
- Linksys;
- Test.com;
- Dlink.com;
- Ntdev.corp.microsoft.com.
Nezabudnite, že ide o skrátený zoznam domén. Po prístupe do databázy Command & Control výskumníci objavili najmenej 700 000 počítačov, ktoré reagovali na server a viac ako 20 počítačov infikovaných malvérom druhej fázy. Užitočné zaťaženie druhej fázy je navrhnuté tak, aby umožnilo hackerom získať hlbšiu oporu v systémoch technologických spoločností.
Odstráňte malvér CCleaner a chráňte svoje súkromie
Podľa Piriformu sa hackerom podarilo upraviť verziu CCleaner 5.33 ešte pred jej spustením. Verzia 5.33 bola vydaná 15. augusta 2017, čo znamená, že zločinci začali infikovať systémy v ten deň. Distribúcia sa údajne zastavila až 15. septembra.
Aj keď niektorí odborníci odporúčajú aktualizovať CCleaner na verziu 5.34, obávame sa, že vykorenenie backdoor z vášho systému nemusí stačiť. Odborníci na spyware odporúčajú obnoviť počítač do stavu pred 15. augustom a spustiť antimalvérový program. V záujme ochrany vašich účtov vám tiež odporúčame zmeniť všetky heslá pomocou bezpečného zariadenia (ako je telefón alebo iný počítač).