Otkrivene nove informacije o hakovanju CCleanera

Vesti, 12.03.2018, 10:30 AM

Avast je otkrio nove detalje o hakovanju CCleanera koje se dogodilo prošle godine. Govoreći na konferenciji u Meksiku, istraživači kompanije rekli su da su otkrili nove informacije o ovom incidentu.

Incident se dogodio se u septembru prošle godine, kada je otkriveno da je u 32-bitne verzije CCleaner v5.33.6162 i CCleaner Cloud v1.07.3191 ubačen malver koji krade informacije.

Istraživači su saopštili da je 2,27 miliona korisnika instaliralo inficirane verzije CCleanera, ali da je malver prikupio samo neke osnovne informacije, kao što su imena računara i podaci o domenu.

Kompanija je kasnije otkrila da je malver prve faze napravljen kao alat za masovno istraživanje koji je trebalo da identifikuje računare u internim mrežama velikih tehnoloških i telekomunikacionih kompanija, kao što su Google, Cisco, Oracle, Intel, Akamai, Microsoft i mnoge druge.

Istraživači kažu da su napadači instalirali malver druge faze samo na 40 računara pronađenih na ovim veoma osetljivim mrežama.

Avast, Cisco Talos i Kaspersky tvrde da iza ovog napada na infrastrukturu CCleanera stoji kineska grupa Axiom koja se bavi sajber špijunažom.

Istraživači Avasta su sada u Meksiku objavili da su otkrili dokaze da su se napadači pripremali da na inficiranim računarima instaliraju i treći malver.

Ovaj malver je pronađen na četiri računara zaposlenih u Piriformu, a Piriform je kompanija koja stoji iza aplikacije CCleaner i koju je Avast kupio u julu 2017. godine. U Avastu misle da je malver korišćen za izviđanje mreže Piriforma u sklopu pripreme za glavni napad koji će se dogoditi tokom leta.

Ime ovog malvera je ShadowPad. To je višenamenski i modularni malver koji ima mnogo pluginova koji pružaju različite funkcionalnosti, kao što su backdoor funkcije, keylogging funkcije i funkcije k koje obezbeđuju izvlačenje podataka.

ShadowPad su prvi primetili istraživači Kaspersky Laba u avgustu 2017. godine na serverima NetSaranga, proizvođača softvera iz Južne Koreje. Prema tvrdnjama istraživača kompanije Kaspersky, neidentifikovana grupa koja se bavi sajber-špijunažom ubacila je ShadowPad u softver NetSaranga i koristila je malver kao backdoor u zaraženim mrežama.

Avast kaže da je pronašao ShadowPad log fajlove na četiri zaražena računara u Piriformu. Ovi fajlovi su sadržali šifrovane pritiske na tastere, što znači da su napadači koristili keylogger plugin ShadowPada. Oni su otkrili i da ShadowPad pluginovi mogu da kradu lozinke iz lokalnih aplikacija.

Iz Avasta kažu da ShadowPad nikada nije instaliran na bilo kom računaru korisnika CCleanera. Ipak, oni veruju da je on bio predviđen za treću fazu i namenjen korisnicima CCleanera, jer je trebalo da posluži za pretraživanja u zatvorenim mrežama tehnoloških kompanija koje su napadači nameravali da zaraze.

Ovo se nije desilo jer je nekoliko proizvođača antivirusa ometalo planove Axioma otkrivajući inficirane verzije CCleanera. Iz Avasta kažu da je sada lanac distribucije CCleanera zaštićen.