Vdor v CCleaner je prizadel na milijone računalnikov po vsem svetu
CCleaner podjetja Piriform je najbolj ocenjena programska oprema za optimizacijo osebnih računalnikov, ki ji zaupajo milijarde (ne milijoni!) uporabnikov po vsem svetu. Je popolnoma legitimno orodje za vzdrževanje sistema z brezhibnim ugledom. Na žalost je podjetje pred kratkim doživelo nekaj zelo neprijetnega in tisto, kar je v javnosti znano kot »napad dobavne verige«.
Zdi se, da so hekerji ogrozili strežnike podjetja, da bi vneli zlonamerno programsko opremo v zakonito različico osebnega računalnika orodje za optimizacijo, ki je zlonamerno komponento uspešno pristalo na več kot 2,27 milijona računalnikov po vsem svetu.
18. septembra 2017 je Paul Yung, podpredsednik Piriforma, v zaskrbljujočem blogu objavil vdor. Podpredsednica se je opravičila in izjavila, da je hekerjem uspelo ogroziti CCleaner 5.33.6162 in CCleaner Cloud različice 1.07.3191. Zdi se, da so bile te različice nezakonito spremenjene za nastavitev zalednih vrat na uporabnikovih računalnikih.
Podjetje je sprejelo ukrepe za odstranitev strežnika, ki je komuniciral z zadnjimi vrati. Zdi se, da bi zlonamerna programska oprema, vbrizgana v programsko opremo za optimizacijo osebnega računalnika (znana kot Nyetya ali Floxif Trojan), lahko prenesla ime računalnika, seznam nameščena programska oprema ali posodobitve sistema Windows, zagonski procesi, naslovi MAC prvih treh omrežnih adapterjev in še več podatkov o računalniku na oddaljeni strežnik.
Zlonamerna programska oprema zbira podatke iz ogroženih sistemov
Sprva so strokovnjaki odkrili le tovor prve stopnje. Po mnenju analitikov je bil virus CCleaner 5.33 sposoben prenašati več vrst podatkov v lastno bazo podatkov, vključno z naslovi IP žrtev, spletnim časom, imeni gostiteljev, imeni domen, seznami aktivnih procesov, nameščenimi programi in še več. Po mnenju strokovnjakov iz Talos Intelligence Group bi bile "te informacije vse, kar bi napadalec potreboval za zagon kasnejšega tovora."
Vendar pa so malce pozneje analitiki zlonamerne programske opreme razkrili Virus CCleaner’ funkcionalnost za prenos druge stopnje koristnega tovora.
Zdi se, da druga koristna obremenitev cilja samo na velikanska tehnološka podjetja. Za odkrivanje ciljev zlonamerna programska oprema uporablja seznam domen, kot so:
- Htcgroup.corp;
- Am.sony.com;
- Cisco.com;
- Linksys;
- Test.com;
- Dlink.com;
- Ntdev.corp.microsoft.com.
Ne pozabite, da gre za skrajšan seznam domen. Po dostopu do baze podatkov Command & Control so raziskovalci odkrili najmanj 700.000 računalnikov, ki so se odzvali na strežnik, in več kot 20 računalnikov, okuženih z zlonamerno programsko opremo druge stopnje. Tovor druge stopnje je zasnovan tako, da hekerjem omogoči globlje oporo v sistemih tehnoloških podjetij.
Odstranite zlonamerno programsko opremo CCleaner in zaščitite svojo zasebnost
Po navedbah Piriforma je hekerjem uspelo spremeniti različico CCleaner 5.33, preden se je začela. Različica 5.33 je bila izdana 15. avgusta 2017, kar pomeni, da so kriminalci na ta dan začeli okužiti sisteme. Po poročanju se je distribucija ustavila šele 15. septembra.
Čeprav nekateri strokovnjaki priporočajo posodobitev CCleanerja na različico 5.34, se bojimo, da morda ne bo dovolj za izkoreninjenje backdoor iz vašega sistema. Strokovnjaki za vohunsko programsko opremo 2 priporočajo obnovitev računalnika v stanje pred 15. avgustom in izvajanje programa proti zlonamerni programski opremi. Prav tako, da zaščitite svoje račune, priporočamo, da spremenite vsa svoja gesla z varno napravo (kot je telefon ali drug računalnik).