Hakeri koji su kompromitovali CCleaner napali Microsoft, Intel, Cisco i druge IT gigante

Ispostavilo se da je prvobitni napad bio samo uvod u veće napade.

Hakeri koji su kompromitovali CCleaner napali Microsoft, Intel, Cisco i druge IT gigante

Kao što smo upozoravali kada je pre nekoliko dana otkriven slučaj malvera u CCleaneru, ispostavilo se da su stvari mnogo ozbiljnije i da je prvobitni napad bio samo uvod u veće napade.

Nedavno je otkriveno da su hakeri kompromitovali CCleaner aplikaciju i iskoristili je da isporuče malver na računare i Android uređaje. Ali, ispostavilo se da je to bila samo predigra za krupnije stvari. Kako navodi Cisco Talos, meta napada su velike tehnološke kompanije. Najmanje 20 velikih IT kompanija je napadnuto, odnosno isporučen im je sekundarni payload.

Iz kompanija Piriform i Avast (proizvođača i vlasnika CCleanera) su nas uveravali da je pretnja neutralisana i da ne postoji malver druge faze te da je dovoljno da korisnici ažuriraju aplikaciju kako bi rešili problem. Međutim, tokom analize C&C (C2) servera hakera sa kojim je maliciozna verzija CCleanera komunicirala, otkriveni su dokazi o sekundarnom payloadu (GeeSetup_x86.dll backdoor modul) koji je isporučivan na specifičnu listu računara baziranu na lokalnim imenima domena.

Tehnološke kompanije na meti napadača

Prema listi koja je pronađena u konfiguraciji C2 servera, napad je osmišljen tako da pronađe računare u mreži velikih tehnoloških kompanija i da isporuči sekundarni payload. U pitanju su sledeće kompanije: Google, Microsoft, Cisco, Intel, Samsung, Sony, HTC, Linksys, D-Link, Akamai i Vmware.

Istraživači su u bazi podataka pronašli skoro 700.000 mašina sa backdoorom, odnosno mašina sa malicioznom verzijom CCleanera (payload prve faze) i 20 mašina koje su zaražene sekundarnim payloadom (payload ili backdoor druge faze) što je imalo za cilj da se dati sistemi stave pod još veću kontrolu. Hakeri su ciljano odabrali baš tih 20 mašina na osnovu njihovih imena domena, IP adrese i imena hosta (pripadaju nekim od gore pomenutih kompanija). Istraživači veruju da je sekundarni malver namenjen industrijskoj špijunaži.

CCleaner malver povezan sa kineskom hakerskom grupom?

Otkriveno je da je deo koda malvera iz CCleanera isti kao kod koji koristi kineska hakerska grupa koja se naziva Axiom. Grupa ima još nekoliko naziva: APT17, Group 72, DeputyDog, Tailgater Team, Hidden Lynx i AuroraPanda. Takođe, otkriveno je da je jedan od konfiguracionih fajlova na serveru napadača bio podešen na vremensku zonu u Kini. Međutim, ovi dokazi nisu dovoljni da se napad sa sigurnošću pripiše datoj grupi.

Odgovor CCleaner vendora

Iako su u početku negirali postojanje sekundarnog payloada, iz Avasta su u ažuriranom blog postu naveli da logovi na serveru ukazuju na to da je 20 mašina u 8 organizacija primilo sekundarni payload. Takođe, navodi se da su ovo samo logovi iz prethodna 3 dana i da je stvarni broj računara koji su pogođeni sekundarnim payloadom najmanje nekoliko stotina.

Iz Avasta su dodali i sledeće: „U vreme kada je server bio oboren, napad je bio usmeren na velike tehnološke i telekomunikacione kompanije u Japanu, Tajvanu, UK, Nemačkoj i SAD-u. S obzirom na to da je CCleaner namenjen prvenstveno običnim korisnicima, jasno je da je ovo tipičan watering hole napad gde većina pogođenih korisnika nije interesantna napadačima, već samo nekolicina odabranih.“

Uklanjanje maliciozne verzije CCleanera ne pomaže kod sekundarnog payloada

Da biste uklonili sekundarni payload, nije dovoljno da samo uklonite datu aplikaciju sa zaražene mašine (ili da je samo ažurirate) jer je C2 server napadača i dalje aktivan. Zbog toga se pogođenim kompanijama preporučuje da urade kompletnu reinstalaciju sistema, odnosno da instaliraju neku raniju verziju iz backupa koja datira iz perioda pre instaliranja sporne, maliciozne verzije CCleanera.

Na kraju, podsetićemo vas da su korisnici CCleaner Clouda primili automatsko ažuriranje, dok se ostalim korisnicima CCleanera savetuje da odmah ažuriraju aplikaciju na v5.35!