Malver iz CCleanera iskorišćen za napad na Intel, Google, Microsoft

Vesti, 22.09.2017, 01:00 AM

Malver iz CCleanera iskorišćen za napad na Intel, Google, Microsoft

Hakovanje softvera CCleaner koje se dogodilo letos, a za koje se saznalo ove nedelje izvela je kineska hakerska grupa koja je najviše poznata po imenu Axiom, ali i po imenima APT17, DeputyDog, Tailgater Team, Hidden Lynx, Voho, Group 72 i AuroraPanda.

Prvi koji je uočio vezu između malvera pronađenog u CCleaneru i grupe Axiom bio je Kostin Raiu, direktor tima za globalna istraživanja i analitiku u kompaniji Kaspersky Lab. On je primetio sličnosti između malvera u CCleaneru i backdoor trojanca Missl, kojeg je grupa koristila u prethodnim napadima. Raiu je ovo svoje zapažanje podelio sa pratiocima na Twitteru u utorak, a juče su istraživači iz Cisco Talos tima potvrdili Raiuove tvrdnje. Oni su istakli da ne mogu sa sigurnošću da kažu da je za hakovanje CCleanera odgovorna grupa Axiom, ali da mogu da potvrde da malver pronađen u programu ima nešto od koda koji je viđen u alatima koje je koristila grupa Axiom.

Istraživači su dobili kopiju fajlova komandno-kontrolnog servera, uključujući i njegovu bazu podataka. Reč je o serveru na koji su inficirane verzije CCleanera slale informacije prikupljene sa inficiranih računara.

Grupa Axiom je preuzela kontrolu nad download serverom CCleanera da bi distribuirala malicioznu verziju popularnog softverfa za optimizaciju sistema. Axiom je tako napala najmanje 20 velikih internacionalnih tehnoloških kompanija.

Kada se saznalo za hakovanje CCleanera, stručnjaci su uveravali korisnike da u masovnom napadu nije korišćen malver druge faze, i da je dovoljno da ažuriraju softver novom verzijom da bi se otarasili malicioznog koda.

Međutim, analiza komandno-kontrolnog servera sa kojim su kontaktirale maliciozne verzije CCleanera, a koji su sproveli istraživači Cisco Talos tima pokazala je da je drugi malver isporučen određenoj listi računara na osnovu lokalnih imena domena. Sudeći prema ovoj prethodno definisanoj listi u konfiguraciji komandno-kontrolnog servera, napad je bio osmišljen tako da pronađe računare u mrežama velikih tehnoloških kompanija i isporuči drugi payload. Ciljane kompanije su Google, Microsoft, Cisco, Intel, Samsung, Sony, HTC, Linksys, D-Link, Akamai i VMware.

U bazi podataka, istraživači su pronašli listu od skoro 700000 backdoorovanih računara inficiranih malicioznom verzijom CCleanera, odnosno malverom prve faze, i listu od najmanje 20 računara koji su inficirani drugim malverom koji napadačima obezbeđuje bolje i dublje uporište na ovim sistemima.

Istraživači veruju da su napadači izabrali ovih 20 računara prema nazivu domena, IP adresi i imenu računara i da je malver druge faze verovatno namenjen za industrijsku sajber špijunažu.

Istraživači Cisco Talos tima kažu da je napad došao najverovatnije iz Kine. Oni su obavestili napadnute kompanije o mogućem kompromitovanju podataka.

Uklanjanje softvera sa inficiranih računara nije dovoljno da bi se uklonio malver druge faze sa mreže. Pogođenim kompanijama koje imaju računare inficirane malicioznom verzijom CCleanera se preporučuje da vrate svoje sisteme iz rezervnih kopija kako bi bile sigurne da su uklonile ne samo backdoorovanu verziju CCleanera već i druge malvere koji su možda prisutni na sistemima.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Sofisticirana phishing kampanja koja cilja korisnike iPhonea poslednjih meseci ukazala je na slabost u Appleovom mehanizmu za resetovanje lozinke. Pre... Dalje

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka je upozorila korisnike da su se na društvenim mrežama pojavili lažni profili koji koriste ime i logo Mobi Banke i pozivaju korisnike da,... Dalje

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Ranije ovog meseca, Google je počeo da uvodi novu funkciju pod nazivom Google Search Generative Experience (SGE) u rezultate pretrage, koja pruža br... Dalje

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Stručnjaci kompanije Kaspersky upozorili su na alarmantan trend pojave fišing stranica koje se predstavljaju kao sajtovi legitimnih prodavaca koji n... Dalje

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Kancelarija za kontrolu strane imovine američkog Ministarstva finansija (OFAC) sankcionisala je tri berze kriptovaluta zbog nuđenja usluga koje se k... Dalje