Hakeri ubacili malver u CCleaner

2,27 miliona korisnika zaraženo nakon što su preuzeli, kako su mislili, legitimnu aplikaciju.

Hakeri ubacili malver u CCleaner

Pre određenog vremena, hakeri su uspeli da kompromituju CCleaner aplikaciju tako što su ubacili backdoor pa je 2,27 miliona korisnika zaraženo nakon što su preuzeli (kako su mislili) legitimnu aplikaciju sa sajta vendora Piriform. Malver su otkrili Cisco Talos istraživači. U pitanju su kompromitovane 32-bitne verzije aplikacije CCleaner v5.33.6162 i CCleaner Cloud v1.07.3191, a to je i kompanija potvrdila.

Zaražene verzije aplikacije su se na sajtu i serverima proizvođača nalazile skoro mesec dana; CCleaner od 15. avgusta do 11. septembra, a CCleaner Cloud od 24. avgusta do 15. septembra (12. septembra proizvođač je objavio bezbednu 5.34 verziju CCleaner aplikacije, a 15. septembra bezbednu verziju CCleaner Clouda).

CCleaner je veoma popularna aplikacija među korisnicima PC računara i ima ukupno 2 milijarde preuzimanja. Od nedavno je u vlasništvu kompanije Avast koja je preuzela Piriform. Autori kažu da aplikacija ima oko 5 miliona preuzimanja nedeljno, što samo povećava potencijalne opasnosti. Ovaj slučaj poredi se sa NotPetya ransomware napadom koji se dogodio u Ukrajini.

Slučaj kompromitovane CCleaner aplikacije otkriven je 13. septembra kada je Talos sistem alarmirao na malicioznu aktivnost. Korisnicima CCleanera za Windows upućeno je upozorenje da odmah ažuriraju softver nakon otkrića da su sajber kriminalci instalirali backdoor. Kompromitovana aplikacija otvara mogućnost da korisnici instaliraju još malvera.

Malver šalje kriptovane informacije o zaraženom računaru na server hakera u SAD – ime računara, IP adrese, instalirane softvere i tekuće procese. Hakeri su takođe koristili DGA (algoritam za generisanje domena); kad god bi došlo do pada servera hakera, DGA je kreirao nove domene za prijem i slanje ukradenih podataka. Korišćenje DGA ukazuje na sofisticirani pristup sajber kriminalaca.

Postoje li razlozi za zabrinutost?

Iz kompanije Piriform su potvrdili da je došlo da kompromitovanja gore pomenutih verzija aplikacije, ali i da su sporni serveri ugašeni, dok se ostali potencijalno problematični serveri nalaze van domašaja napadača. Korisnici CCleaner Cloud v.1.07.3191 su dobili automatsko ažuriranje pa iz kompanije veruju da su uspeli da osujete pretnju pre nego što je bila u mogućnosti da napravi štetu. Takođe, navode da je u pitanju dvofazni backdoor koji je sposoban da na zaraženom sistemu pokrene kod koji primi sa udaljene IP adrese.

Iz Avasta su rekli da nema razloga za paniku i da je njihovo skeniranje zaraženih računara pokazalo da napadači nisu lansirali drugu fazu napada koja bi izazvala veću štetu žrtvama. Smatraju da ovo jeste bila priprema za „nešto veće“, ali da su napadači zaustavljeni na vreme.

Ipak, nisu svi ubeđeni da je pretnja prošla bez posledica. Neki stručnjaci smatraju da kompanija umanjuje ozbiljnost problema i da napadači mogu da iskoriste backdoor za druge svrhe, recimo za neke naredne ciljane napade na specifične korisnike.

Cisco Talos istraživači navode da je AV detekcija ove pretnje na niskom nivou tako da ukoliko su korisnici preuzeli i instalirali jednu od 2 zaražene verzije (ili ih ažurirali), velika je šansa da je njihov računar zaražen, odnosno da ima backdoor. Oni savetuju korisnicima da urade restore kompromitovanih sistema na neki datum pre 15. avgusta ili da urade reinstalaciju sistema. Takođe, preporučuju da se preuzme najnovija dostupna verzija CCleanera kako bi se izbegla infekcija.

Još uvek se ne zna ko stoji iza ovih napada.

Zaključak

Ovakvi napadi su odličan primer šta su sve sajber kriminalci spremni da urade kako bi distribuirali malver organizacijama i pojedincima širom sveta. Uopšte se ne libe da zarad svojih ciljeva iskoriste poverenje koje korisnici imaju u vendore čije proizvode koriste. Supply chain napadi su veoma efektan način za distribuiranje malicioznog sadržaja, što smo videli i kod NotPetya napada gde je došlo do kompromitovanja servera ukrajinskog proizvođača softvera MeDoc. Nažalost, u ovakvim slučajevima krajnji korisnici su nemoćni, a sva odgovornost je na developerima koji moraju da sačuvaju bezbednost svojih servera.