Več podrobnosti o napadu s CCleanerjem
Matej Huš
26. sep 2017 ob 09:21:50
Znanih je več podrobnosti o hudem varnostnem spodrsljaju, ki si ga je privoščil razvijalec priljubljenega programa za odstranjevanje nepotrebnih CCleaner. Minuli teden je postalo jasno, da je verzija tega programa skoraj mesec dni vsebovala zlonamerno kodo. Kot ugotavlja Avast, je šlo za ciljan napad APT (advanced persistent threat), ki je bil usmerjen na točno določene poslovne tarče.
Zlonamerna koda v CCleanerju je namreč vsebovala funkcijo za prenos sekundarnega tovora s krmilno-nadzornih strežnikov. Avast je v sodelovanju z ameriškimi organi pregona in ponudnikom gostovanja ServerCrate uspel pridobiti bazo na strežniku, ki razkriva podrobnosti delovanja. Na strežnik se je povezalo 1,7 milijona računalnikov, torej je bilo vsaj toliko okuženih. Izmed teh pa je le 40 računalnikov dobilo sekundarni tovor, torej nadaljnjo zlonamerno programsko opremo. Ti so bili izbrani glede na domeno, kateri so pripadali. Šlo je za računalnike v poslovnih sistemih Samsung, NEC, Asus, Fujitsu, Sony, Intel, VMWare ipd. Seznam se je sproti posodabljal, kar kaže, da so napadalci tekom napada iskali nove, napada vredne računalniške sisteme.
Za zdaj kaže, da je napadal izvira iz Kitajske, toda tovrstne ostanke je mogoče enostavno potvoriti. Analiza vzdrževalnih del na strežnikih je pokazala, da napadalec verjetno živi v časovnem pasu UTC+4 ali UTC+5 in upošteva tradicionalni delovni teden (prosta sobota in nedelja), kar ga postavlja v Rusijo ali centralno Azijo. Še vedno pa ostaja neodgovorjeno vprašanje, kako so izbirali tarče in kaj so pri njih pravzaprav iskali.