По-рано тази седмица ви съобщихме за атака към потребителите на CCleaner, засегнала близо 700 000 души (уточнение, нанесено от собственика на софтуера Avast в по-късно разследване).

Това, което отличава тази атака от обикновените хакерски набези е, че неизвестната засега страна е компрометирала продуктовата линия за доставка на софтуера на компанията. CCleaner и други софтуерни компании подписват дигитално своите продукти преди да ги доставят към своите потребители. Въпросният ключ, с който това бива осъществявано е уникален и самият процес е достатъчно сложен, за да предотврати инциденти. В този смисъл е явно, че не става дума за случайни киберпрестъпници, а за умели хакери, като Cisco, които продължават разследването си, смятат, че може да става дума за хакери, работещи за чужда държава. Те са успели да се доберат до инфраструктурата за доставка на CCleaner и да подменят оригиналния инсталатор със свой собствен, който впоследствие е бил подписан с оригиналния ключ на компанията. Това е и причината повече от месец, въпросният софтуер да не е събудил подозрението не само на потребителите и на програмите за защита, но и на самата компания. Но нещата не приключват дотук.

Продължаващият анализ на Cisco посочва неочаквано развитие: инцидентът с CCleaner е част от мащабна кампания, целяща корпоративен шпионаж и обхваща 20 големи компании, сред които Samsung, Sony, HTC, Intel, VMware, MSI, Lynksis, Microsoft, Vodafone, самите Cisco, Google и други. От анализа над бекдор компонента в софтуера на CCleaner станало ясно, че сървъра, командващ инструкции към зловредния файл, е допълнен от втори бекдор компонент, който се активира при посрещането на зададени изисквания в кода към жертвата. От Cisco споменават, че са проведени и други успешни атаки към компании, но не желаят да назовават имената им. Те са ги уведомили своевременно за това. Компанията предупреждава, че ако случайно сте инсталирали 32-битовата версия на CCleaner (версия 5.33.6162, публикувана на 15.08 и останала незабелязана един месец) или тази на CCleaner Cloud, то просто деинсталирането ѝ не е успокоително. Поради сложността на бекдор компонента, единственото решение е да върнете системата в предишно състояние или да я изградите наново.

Що се отнася до виновникът за атаките, Cisco са внимателни с посочването на конкретна страна, но все пак отбелязват, че в атаката е използван код, използван от APT (Advanced Persistent Threat) групировка, свързваща се с властите Пекин, както и един от командните сървъри, които също бил разположен в Китай.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
9 Коментара
стари
нови оценка
Отзиви
Всички коментари