Jakub
Grzegorz
Maciej
Marcin
Piotr
Grzegorz
Paweł
Jak podają media, nawet setki tysięcy komputerów zostały zaatakowanych w związku z podmianą instalatora CCleanera, w ramach którego do maszyn przedostało się złośliwe oprogramowanie szpiegujące. Okazuje się, że cały proces mógł mieć drugie dno, a rzeczywistym celem było przynajmniej 20 firm informatycznych z całego świata. Wygląda na to, że cała akcja została bardzo starannie zaplanowana.
Wcześniej pisaliśmy dla Was o samym incydencie związanym z programem CCleaner. Firma odpowiedzialna za rozwój tej aplikacji została niedawno kupiona przez czeskiego Avasta. Okazało się, że przez miesiąc na oficjalnej stronie CCleanera dostępna była wersja zawierająca w sobie nie tylko pakiet konserwacyjny, ale również złośliwe oprogramowanie. To służyło cyberprzestępcom do śledzenia użytkowników, a także umożliwiało im instalowanie na zainfekowanych komputerach innych niebezpiecznych programów. Analizując informacje na serwerze służącym do zarządzania zadaniami zaimplementowanego mechanizmu odnaleziono dowody przemawiające za tym, iż odpowiedzialni za atak mieli na celu spenetrowanie komputerów należących do różnych firm informatycznych, m. in. Intel, Google, Microsoft, Akamai, Samsung, Sony, VMware, HTC, Linksys, D-Link oraz Cisco.
Taki zakres działania może wskazywać na fakt, iż cyberprzestępcy działali w ramach szpiegostwa gospodarczego. Nieznane są jednak szczegóły – bardzo możliwe, że cyberprzestępcy byli jedynie wykonawcami zlecenia nieznanego podmiotu. Niewykluczone także, że za tym atakiem stała bezpośrednio konkretna firma – nie ma jednak nawet pomysłów na to, kto mógłby się tego dopuścić.
Atak na CCleanera wiąże się z ransomware Petya
W tamtym przypadku również wykorzystano procesy dystrybucyjne do rozprzestrzenienia zagrożenia. Petya rozpoczął swój przemarsz przez internet od serwerów aktualizacyjnych oprogramowania M.E. Doc., które bardzo szeroko jest wykorzystywane m. in. we wschodniej części Europy przez firmy. Liczne zaniedbania w w kwestii zabezpieczeń spowodowały, że firma stała się dogodnym celem ataku, który miał spowodować liczne straty. I tak się właśnie stało – w wyniku działania tego ransomware niektóre firmy miały ogromne problemy z funkcjonowaniem, a straty były przeogromne.
Bardzo możliwe, że tego typu ataki będą jeszcze częstsze, a pobieranie programów bezpośrednio ze stron producentów wcale nie będzie gwarantowało tego, że otrzymamy wolne od jakichkolwiek złośliwych implementacji aplikacje. Firmy oferujące dostęp do popularnych programów będą musiały uważać na bezpieczeństwo swoich serwerów, które mogą paść ofiarą cyberprzestępców. Jak widać na przykładzie CCleanera, zorientowano się dopiero po miesiącu, że coś jest nie tak i w instalatorze znalazło się coś, czego nie chciano użytkownikom przekazać. Dla firmy Avast to również spory problem wizerunkowy – firma zajmująca się cyberbezpieczeństwem powinna świecić przykładem – w tym wypadku jednak się tak nie stało.
