Poprzedni Następny

CCleaner – historia 2 mln infekcji, aby dotrzeć do 40 komputerów

Pół roku temu pojawiła się informacja o ataku na firmę Pirform, producenta popularnego programu CCleaner. Atak wzbudził duże zainteresowanie z dwóch powodów. Po pierwsze – atak odbył się z wykorzystaniem oficjalnego procesu aktualizacji oprogramowania. Użytkownicy pobierając – wydawać się by mogło – standardową aktualizację, wpuszczali atakujących na swoje komputery. Po drugie – aktualizacja została pobrana 2 miliony razy.

Dopiero z czasem pojawiły się informacje, jak „ciekawy” i skomplikowany był to atak. Ciekawy, bo właściwym celem hakerów było 40 stacji roboczych (0,004% wszystkich zainfekowanych) należące do raptem 12 firm.

Pół roku po ataku na konferencji RSA w San Francisco Ondrej Vlcek – wiceprezes i CTO Avast – zaprezentował analizę tamtego wydarzenia. Krok po kroku pokazał, w jaki sposób oficjalne mechanizmy stały się narzędziem do zainfekowania aż tylu użytkowników na raz.

Atak na CCleaner krok po kroku

  1. Przejęcie jednego z komputerów poprzez zalogowanie się na użytkownika korzystającego z TeamViewer. Atakujący znali login i hasło. Prawdopodobnie użytkownik posiadał ten sam login i hasło w wielu miejscach a wyciek nastąpił z innej bazy danych.
  2. Kontrolując pierwszą maszynę, atakujący rozprzestrzenili na drugi komputer podłączony do tej samej sieci i otworzyli tam backdoor-a poprzez RDP (zdalny pulpit).
  3. Wykorzystali RDP by ściągnąć złośliwe oprogramowanie.
  4. Atakujący uruchomili lepszą wersje backdoor-a (ShadowPad)
  5. Atakujący infekowali kolejne komputery.
  6. Pomiędzy kwietniem a lipcem atakujący pracowali nad własną-złośliwą wersją CCleaner-a. Dodatkowo próbowali rozszerzyć swoją aktywność na kolejne komputery, poprzez zainstalowanie keylogg-erów na już kontrolowanych jednostkach. W ten sposób weszli w posiadanie uprawnień administratora.
  7. Atakujący podmienienie najnowszą wersje CCleaner-a na spreparowaną przez atakujących, czyli wzbogaconą o „funkcjonalność” backdoor-a.
  8. Złośliwe oprogramowanie zostało ściągnięte i uruchomione z uprawnieniami systemowymi przez ponad 2 miliony użytkowników. Śledztwo wykazało, że pomimo tak szerokiej skali ataki, celem było zaledwie 40, szczegółowo wybranych komputerach (0,004% wszystkich zainfekowanych). Należały one do Google, Microsoft, Cisco, Intel, Samsung, Sony, HTC, Linksys, D-Link, Akamai oraz VMware.

Podsumowując – hakerzy przebywali niezauważeni w infrastrukturze firmy przez ponad pół roku. W tym czasie skrupulatnie przygotowywali się do właściwego ataku. Jego efekt – zarażonych ponad 2 miliony klientów firmy w tym 40 stacji, które były realnym celem hakerów.

Jakie wnioski płynął z tej historii? Po pierwsze – stosujmy zasadę ograniczonego zaufania. Po drugie – korzystajmy z zaufanego oprogramowanie zabezpieczającego, nieustannie monitorujmy własne systemy wspieranego przez wykwalifikowany zespół specjalistów. Wtedy moment wykrycia ataku będzie znacznie szybszy, a reakcja znacznie skuteczniejsza.

Źródło: The Hacker News

Potrzebujesz rozwiązań cyberbezpieczeństwa dla firmy – skontaktuj się z nami.