Vislabākā aizsardzība, lieliskas cenas!
Sākumlapa » Apdraudējumi » Caur Avast piederošo CCleaner ar spiegošanai izmantojamu programmatūru inficēti lielu tehnoloģiju uzņēmumu datori

Caur Avast piederošo CCleaner ar spiegošanai izmantojamu programmatūru inficēti lielu tehnoloģiju uzņēmumu datori

Incidents, kura ietvaros interneta lietotāji no šī gada 15. augusta līdz 13. septembrim lejupielādēja populārās programmatūras CCleaner inficētas versijas (32-bitu versiju CCleaner v5.33.6162 un CCleaner Cloud v1.07.3191), ir guvis ļoti nepatīkamu turpinājumu – starp inficētajiem simtiem tūkstošu datoru nezināmi ļaundari ir izvēlējušies tādus, kas pieder lielām tehnoloģiskajām korporācijām un ielādējuši tajos papildu ļaunprogrammatūru, kas varētu tikt izmantota spiegošanas nolūkos.

Atgādināsim, ka labi zināmais antivīrusu uzņēmums Avast iegādājās CCleaner ražotāju Piriform šovasar. Par to tika paziņots 19. jūlijā. Avast apgalvo, ka nezināmi kiberuzbrucēji esot ielauzušies Piriform datortīklā jau 3. jūlijā un vēlāk, jau pēc uzņēmuma nonākšanas Avast paspārnē, veikuši sagatavošanās darbus, lai 15. augustā izlaistais CCleaner 5.33.6162 un 24. augustā izlaistais CCleaner Cloud v1.07.3191 saturētu ļaunprogrammatūru. Pēc Avast datiem inficētos CCleaner lejupielādējuši vairāk kā 2.27 miljoni lietotāju!

Tālāk notikumi attīstās sekojoši. 12. septembrī uzņēmums Morphisec informē Avast un arī uzņēmumu Cisco par aizdomīgām CCleaner darbībām. Abi uzņēmumi uzsāk izmeklēšanu. 15. septembrī Avast izlaiž jau tīras CCleaner versijas (CCleaner 5.34 un CCleaner Cloud 1.07.3214.). Tajā pašā dienā tiesībsargi pārņem ļaunprogrammatūras vadības serveri. 18. septembrī incidents tiek publiskots. Vēlāk tiek atrasts vēl viens ļaunprogrammatūras vadības serveris. Saskaņā ar datiem no 2 ļaunprogrammatūras vadības serveriem inficēti tikuši 1 646 536 lietotāju. Iespējams, ka viņu skaits ir pat drusku lielāks, jo ļaundariem sākotnējais serveris bija “nogāzies” izbeidzoties brīvai vietai diskos un ir 40 stundu pārtraukums līdz viņi uzstutēja jaunu vadības serveri.

 

 

Kā informēja Cisco Talos pētnieki, inficētā CCleaner versija 5.33 bija elektroniski parakstīta ar sertifikātu, ko uzņēmumam Piriform bija izsniedzis Symantec.

Pirmās aizdomas, ka tas vēl nebūt nav viss, parādījās, kad Kaspersky Lab Globālās analīzes un izpētes komandas direktors Kostins Raiju nopublicēja informāciju, ka CCleaner ievietotais kaitīgais koda fragmenti ir tādi paši, kādi izmantoti vairākos rīkos sarežģītos kiberuzbrukumos.

 

Saīsinājums APT no Advanced Persistent Threat parasti nozīmē, ka mums ir darīšana ar augsta līmeņa spiegošanu. Šajā gadījumā aizdomas krīt uz Axiom APT, ko pētnieki saista ar Ķīnu. Protams, ka pierādījumi te nevar būt 100%, jo tie var būt tīši viltoti.

Un tagad pats galvenais. Ļaunprogrammatūras vadības serveru izpēte ļāva noskaidrot, ko no lielā inficēto skaita ļaundari bija izfiltrējuši sev interesējošus mērķus – uzņēmumu Google, Microsoft, HTC, Samsung, Intel, Sony, VMWare, O2, Vodafone, Linksys, Epson, MSI, Akamai, DLink, Oracle (Dyn), Gauselmann, Singtel, MSI, Cisco, Cyberdyne, Tactical Technologies Inc. (TTI), GoDaddy datorsistēmas. Par sekmīgām infekcijām zināms Chunghwa Telecom, NEC, Samsung, ASUS, Fujitsu, Sony, IPAddress.com, O2, Gauselmann, Singtel, Intel un VMWare uzņēmumos.

Sekosim tālāk šim incidentam, kas turpina tā saucamo piegādes ķēdes (supply chain) uzbrukumu virkni, kad tiek kompromitēta uzticama programmatūra vai tās atjauninājumu infrastruktūra.

 

Noslēgumā jāpiebilst, ka ļoti dīvaini šķiet tas, ka inficēto CCleaner paša Avast skeneris projektā VirusTotal nedetektēja vēl 18. septembrī. Tas ir piecas dienas pēc tam, kā uzņēmums Morphisec informēja Avast par problēmu ar CCleaner.

Birkas:
Iepriekšējais raksts
Nākošais raksts

1 Komentāri

  1. 😀
    Lielie tehnoloģiju uzņēmumi? Dauņu kantori!
    Neviens sakarīgs megakorps nelietos kaukādus sūda klīnerus! Reimage un viss!

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

83 − 79 =

Vislabākā aizsardzība, lieliskas cenas!
Uz augšu