Опубликованы подробности заражения утилиты CCleaner вредоносным ПО

В прошлом году популярное программное обеспечение для очистки систем CCleaner подверглось масштабной атаке, в ходе которой хакеры скомпрометировали серверы компании Piriform и заменили легитимную версию утилиты на вредоносную. Вредоносное ПО инфицировало более 2,3 млн пользователей, загрузивших или обновивших CCleaner в период с августа по сентябрь 2017 года с официального сайта.

Как выяснилось позднее, хакерам удалось проникнуть в сеть компании почти за пять месяцев до того, как они заменили официальную сборку CCleaner на версию с бэкдором. Об этом сообщил вице-президент компании Avast и технический директор Ондрей Влчек (Ondrej Vlcek) на конференции по безопасности RSA в Сан-Франциско.

Avast опубликовала подробности инцидента, подробно описав, как и когда неизвестные хакеры взломали сети компании Piriform, создавшей CCleaner и приобретенную Avast в июле 2017 года.

11 марта 2017 года. Атакующие впервые получили доступ к рабочей станции одного из разработчиков CCleaner, который был подключен к сети Piriform, используя удаленное программное обеспечение TeamViewer.

Как полагают в компании, злоумышленники повторно использовали учетные данные разработчика, полученные в результате более ранней утечки, для доступа к учетной записи в TeamViewer и с третьей попытки смогли установить вредоносное ПО при помощи скрипта VBScript.

12 марта 2017 года. Используя зараженное устройство, злоумышленники проникли во второй компьютер, подключенный к той же сети, и создали бэкдор через протокол Windows RDP (служба удаленного рабочего стола).

Используя RDP-доступ, злоумышленники загрузили двоичную и вредоносную полезную нагрузку (вредоносное ПО второго этапа, которое позднее было доставлено на 40 компьютеров, принадлежащих крупным технологическим компаниям) в реестр целевого компьютера.

14 марта 2017 года. Атакующие заразили первый компьютер первой версией вредоносного ПО.

4 апреля 2017 года. Атакующие скомпилировали специальную версию бэкдора ShadowPad, позволяющего злоумышленникам загружать дополнительные вредоносные модули и похищать данные. Данную вредоносную полезную нагрузку, по мнению представителей компании, можно считать третьим этапом атаки на CCleaner.

12 апреля 2017 года. Несколько дней спустя злоумышленники установили полезную нагрузку третьего этапа на четырех компьютерах в сети Piriform (в виде библиотеки mscoree.dll) и на сервере, содержащем версию сборки CCleaner (в качестве библиотеки .NET).

Период с середины апреля по июль 2017 года. В данный период злоумышленники подготовили вредоносную версию CCleaner и попытались проникнуть на другие компьютеры во внутренней сети Piriform, установив кейлоггер на уже скомпрометированные системы с целью хищения учетных данных и авторизации с правами администратора через RDP.

18 июля 2017 года. Компания Avast приобрела Piriform.

2 августа 2017 года. Атакующие заменили исходную версию программного обеспечения CCleaner с официального сайта собственной версией, которая была загружена несколькими миллионами пользователей.

13 сентября 2017 года. Исследователи из Cisco Talos обнаружили вредоносную версию программного обеспечения, которая распространялась через официальный сайт компании более месяца, и сразу же уведомили Avast.

Во вредоносной версии CCleaner было скрыто программное обеспечение, предназначенное для кражи данных с зараженных компьютеров.

В течение трех дней после уведомления об инциденте Avast совместно с ФБР отключила C&C-сервер злоумышленников, однако к этому моменту вредоносная версия CCleaner уже была загружена 2,27 млн пользователями.

Помимо этого, было выявлено, что атакующие смогли установить вредоносную полезную нагрузку второго этапа на 40 компьютерах, принадлежащих крупным международным технологическим компаниям, включая Google, Microsoft, Cisco, Intel, Samsung, Sony, HTC, Linksys, D-Link, Akamai и VMware. В то же время у Avast нет свидельств того, что вредонос ShadowPad был загружен на устройства любой из перечисленных выше компаний.

«Как показало наше расследование, ShadowPad ранее использовался в Южной Корее и в России, где злоумышленники взламывали компьютеры для слежки за денежными операциями. Самый старый вредоносный исполняемый файл, использовавшийся в ходе атаки в России, был создан в 2014 году. Исходя из этих данных можно говорить о том, что ответственная за него группировка может заниматься слежкой за пользователями уже в течение многих лет», - отметили специалисты.

Нравится10
Комментарии (15)
  • Ты немножечко опоздал с этой новостью,почти на год.
  • О какой именно версии идет речь? Там как минимум 2 версии, одна портативная, другая установочная стабильная.
  • samosan написал:
    Ты немножечко опоздал с этой новостью,почти на год.

    Как говорил один книжный герой:
    Спойлер
    – Так вот, ломанули их вчера, – сообщает Ежик.
    Странно…
    – Вчера?
    Виртуальность живет в быстром темпе. Вчерашняя новость – уже не новость.
    – Ага. – Ежик понимает, что я оценил маленькую деталь.
  • Прочитал эту новость и с удовольствием позлорадствовал! :D
    Может потому, что я использую не этот непомерно разрекламированный CCleaner, который как стадо обезьян ставят на свои компы сотни миллионов пользователей, а использую ничуть не худший, но просто менее разрекламированный Total Uninstall !
    Ну а также ещё потому, что всё это действо происходило прямо под носом у хвалёного Аваста, а те всё профукали, в том числе нехило так подмочили из-за этого случая свою репутацию! XD
    А ребята, которое провернули всё это дело прямо под носом у таких именитых компаний без сучка/без задоринки - это просто высший класс, респект!!!
  • RU-DIK
    Тут походу я 1 пользуюсь встроенной очисткой диска
  • заменили легитимную версию утилиты на вредоносную.

    Версия не может быть легитимной...
  • Нейромонах Мендоса
    Нет не только, но эта очистка оставляет мусор, и да ею ты не почистишь реестр.
  • Нейромонах Мендоса написал:
    Тут походу я 1 пользуюсь встроенной очисткой диска

    Glnai написал:
    Нейромонах Мендоса, Нет не только, но эта очистка оставляет мусор, и да ею ты не почистишь реестр.

    Совершенно верно! Я например использую Total Uninstall не только для автоматической очистки системы от ставших ненужными файлов или записей в реестре, а в первую очередь для отслеживания установки каких-то программ или игр, например, когда устанавливаешь их впервые и не знаешь, как она себя поведёт, да и вообще - понравится или нет. И если что-то пойдёт не так, то тут же сразу можно удалить вместе со всеми отслеженными изменениями в реестре - и снова вернуться к исходному состоянию системы!
    А чтобы удалить файлы из "Корзины", или из папки "Temp" и т.д. - так для этого большого ума от программы не требуется, для этого действительно достаточно и чистильщика, встроенного в Windows :)
  • RU-DIK
    Толку то вам от реестра ? Там букавки байты весят на производительность и на другую работу не влияют. К тамуже когда чисто для эксперемента устанавливал клинер он мне чистил 1 и теже строки в реестрее (в основном расширения файлов по умолчанию делал хотя нахрен они мне сдались по умолчанию)
  • Нейромонах Мендоса написал:
    Толку то вам от реестра ? Там букавки байты весят на производительность и на другую работу не влияют.

    Разумеется, сам я реестр не чищу - не хватало ещё нарушить стабильную работу всей системы!!!! С помощью этой программы можно ВОССТАНОВИТЬ реестр, например: после неудачно установленной программы, или же если вы стали устанавливать программу и не обратили внимания, что во время установки стояли галочки в пунктах установить какие-то ещё ненужные сторонние программы и они установились вместе с основной, или же вы установили какую-то новую программу или игру, а она вам не понравилась, и т.д., и т.п., .........
    Так вот во всех этих случаях можно вернуть назад то состояние системы (то есть реестра) и файлов, которое предшествовало установке той или иной программы или игры!
    Для этого перед установкой какого-то исполняемого файла, нужно запустить этот файл .exe или .msi с помощью программы "Total Uninstall" (или "CCleaner" или какой-то другой подобной), она сделает так называемый "снимок" системы (то есть реестра и файлов соответственно) ДО начала установки программы или игры, а когда вы решите, что программа установлена и настроена, т.е. все возможные изменения в реестре уже произошли, то нажимаете кнопку "Программа установлена" и "Total Uninstall" (или другая подобная программа) делает "снимок" уже изменённой системы и выявляет сделанные изменения (что удалено, что добавлено, какие значения в реестре изменены на другие и т.д.).
    Если вы захотите бесследно удалить программу, чтобы уже 100% быть уверенным, что она не оставит в реестре после себя ни единой соринки, что она не оставит после себя каких-то файлов на системном диске, то вы в списке отслеженных программ выбираете данную программу и нажимаете "Удалить" - "Totall Uninstall" вернёт систему в прежнее состояние!!!!!!! как будто этой игры или программы у вас на компе никогда и не было! Таким образом можно к примеру бесконечно долго пользоваться какими-то триал-версиями программ и т.д.... Это я вам только вкратце тут основное написал, т.к. понял, что вы оказывается не имеете представления обо всех возможностях подобных программ - они не только очищают ненужные файлы (как это делает встроенный Чистильщик Windows), но и выполняют ещё большое множество дополнительных функций.
    Уф.... Ну теперь-то понятно, я надеюсь?????????? :)
  • RU-DIK
    Да ты прям как веган какой-то. Ух.
    Ещё и болдом прям, Total Uninstall. Гордо звучит.
    Но программка не плохая, это да.
    И всё таки, назначение у неё и у CC немного разное.
    P.S. Да, и злорадствовать не нужно, это плохо. XD
  • Grey_Square
    В своё время несколько лет назад, когда встал вопрос о выборе - какую из подобных программ я буду использовать на своём ПК, то перепробовав несколько самых распространённых из них (не более 5 штук), я остановил свой выбор на "Total Uninstall", и вот несколько лет уже пользуюсь только ей. Поэтому про конкретные особенности "CCleaner" я, признаюсь, уже плохо помню, просто подозреваю, что у неё тоже должна быть какая-то функция по отслеживанию изменений в системе, чтобы при необходимости можно было их отменять. Потому что иначе навряд ли эта программа была бы у хомячков на первом месте, обогнав по популярности "Total Uninstall", если бы эта функция в ней отсутствовала.... :)
  • Всегда считал эту утилиту больше вредной нежели полезной. Своими очистками она лишь ломает адреса ярлыков, удаляет полезный кеш с информацией о логинах и паролях (приходится опять везде логиниться), а иногда и вовсе удаляет "ненужные" части програм, что естественно ломает их.
  • Aips95
    Там же слева, вроде, всё настраивается.
    По крайней мере, у меня ничего такого не удалялось.
    Использую, по большей части только из-за возможности удалять хвосты программ в реестре, ну и ещё, довольно шустро она работает. Да и быстрее иногда с панели задач запустить CC и деинсталировать программу, чем в Панель управления идти.
    Кстати,
    RU-DIK
    Я подзабыл, а в Total Uninstall есть возможность просто и быстро подчистить хвосты в реестре? Поставлю тогда может.
  • Grey_Square написал:
    Я подзабыл, а в Total Uninstall есть возможность просто и быстро подчистить хвосты в реестре?

    В смысле это когда вы какую-то программу предварительно не отслеживали, но потом решили удалить её и вот нужно после этого удалить и все возможно-оставшиеся следы в реестре?
    Если имелось ввиду это, то да, я сейчас проверил - она это делает.
    То есть выбираете в "Total Uninstall" в списке установленных программ какую-то программу или игру - "Total Uninstall" анализирует несколько секунд и потом показывает какие установлены файлы, связанные с этой программой, какие записи в реестре связаны с этой программой и т.д. Поэтому при удалении или уже после удаления программы, "Total Uninstall" сможет всё это подчистить за ней.
    Но лучше тогда уже сразу удалять ненужную программу с помощью "Total Uninstall" - там можно выбирать: или сначала запустить обычное удаление программы, а потом уже подчистить за ней все следы или же можно сразу доверить это сделать "Total Uninstall" и он уже сразу удалит все файлы и записи в реестре, связанные с этой программой. При этом можно настроить, что "Total Uninstall" или будет у вас спрашивать, или же будет удалять всё без лишних вопросов.
B
i
u
Спойлер