Malver iz CCleanera iskorišćen za napad na Intel, Google, Microsoft

Vesti, 22.09.2017, 01:00 AM

Hakovanje softvera CCleaner koje se dogodilo letos, a za koje se saznalo ove nedelje izvela je kineska hakerska grupa koja je najviše poznata po imenu Axiom, ali i po imenima APT17, DeputyDog, Tailgater Team, Hidden Lynx, Voho, Group 72 i AuroraPanda.

Prvi koji je uočio vezu između malvera pronađenog u CCleaneru i grupe Axiom bio je Kostin Raiu, direktor tima za globalna istraživanja i analitiku u kompaniji Kaspersky Lab. On je primetio sličnosti između malvera u CCleaneru i backdoor trojanca Missl, kojeg je grupa koristila u prethodnim napadima. Raiu je ovo svoje zapažanje podelio sa pratiocima na Twitteru u utorak, a juče su istraživači iz Cisco Talos tima potvrdili Raiuove tvrdnje. Oni su istakli da ne mogu sa sigurnošću da kažu da je za hakovanje CCleanera odgovorna grupa Axiom, ali da mogu da potvrde da malver pronađen u programu ima nešto od koda koji je viđen u alatima koje je koristila grupa Axiom.

Istraživači su dobili kopiju fajlova komandno-kontrolnog servera, uključujući i njegovu bazu podataka. Reč je o serveru na koji su inficirane verzije CCleanera slale informacije prikupljene sa inficiranih računara.

Grupa Axiom je preuzela kontrolu nad download serverom CCleanera da bi distribuirala malicioznu verziju popularnog softverfa za optimizaciju sistema. Axiom je tako napala najmanje 20 velikih internacionalnih tehnoloških kompanija.

Kada se saznalo za hakovanje CCleanera, stručnjaci su uveravali korisnike da u masovnom napadu nije korišćen malver druge faze, i da je dovoljno da ažuriraju softver novom verzijom da bi se otarasili malicioznog koda.

Međutim, analiza komandno-kontrolnog servera sa kojim su kontaktirale maliciozne verzije CCleanera, a koji su sproveli istraživači Cisco Talos tima pokazala je da je drugi malver isporučen određenoj listi računara na osnovu lokalnih imena domena. Sudeći prema ovoj prethodno definisanoj listi u konfiguraciji komandno-kontrolnog servera, napad je bio osmišljen tako da pronađe računare u mrežama velikih tehnoloških kompanija i isporuči drugi payload. Ciljane kompanije su Google, Microsoft, Cisco, Intel, Samsung, Sony, HTC, Linksys, D-Link, Akamai i VMware.

U bazi podataka, istraživači su pronašli listu od skoro 700000 backdoorovanih računara inficiranih malicioznom verzijom CCleanera, odnosno malverom prve faze, i listu od najmanje 20 računara koji su inficirani drugim malverom koji napadačima obezbeđuje bolje i dublje uporište na ovim sistemima.

Istraživači veruju da su napadači izabrali ovih 20 računara prema nazivu domena, IP adresi i imenu računara i da je malver druge faze verovatno namenjen za industrijsku sajber špijunažu.

Istraživači Cisco Talos tima kažu da je napad došao najverovatnije iz Kine. Oni su obavestili napadnute kompanije o mogućem kompromitovanju podataka.

Uklanjanje softvera sa inficiranih računara nije dovoljno da bi se uklonio malver druge faze sa mreže. Pogođenim kompanijama koje imaju računare inficirane malicioznom verzijom CCleanera se preporučuje da vrate svoje sisteme iz rezervnih kopija kako bi bile sigurne da su uklonile ne samo backdoorovanu verziju CCleanera već i druge malvere koji su možda prisutni na sistemima.