CCleaner je u sebi nosio mogućnost hakiranja kompjutera korisnika, a izgleda da iza svega stoje Kinezi

Potencijalno je zahvaćeno više milijuna korisnika, uključujući i neke velike kompanije

ZADNJA IZMJENA: Sep 24, 2017
Foto: Piriform/Facebook

Prije par dana, ustanovljeno je da je softver koji bi trebao optimizirati rad računala, poznati CCleaner, bio prožet hakerskim softverom. Neke određene verzije CCleanera su dospjele u ruke hakerima, koji su u njih ugradili svoj maliciozan kod za prikupljanje korisničkih podataka. Svoju verziju softvera su ubacili na službene kanale CCleanera, koji je potom poslan njegovim korisnicima kao update. Radi se o verzijama CCleaner 5.33.6162 i CCleaner Cloud 1.07.3191, a kompanija sada poziva korisnike da instaliraju verzije od 5.34 na više.

Piriform, developeri CCleanera šalju update za korisnike, dok se korisnici CCleaner Clouda već trebaju nalaziti na novim i sigurnijim verzijama. Štetan softver je navodno bio sposoban prikupljati podatke poput naziva računala, njegove IP adrese, popisa instaliranih programa, liste aktivnih programa, te liste svih mrežnih uređaja. Prikupljene podatke je tako mogao slati na neki drugi server nepovezan s Piriformom, negdje van SAD-a. Piriform trenutno tvrdi da ne mogu ustanoviti da li su još kakvi drugi podaci slani na te servere.

Više milijuna ljudi zahvaćeno štetnim softverom

Procjenjuje se da je 2.27 milijuna privatnih korisnika zahvaćeno štetnim softverom, no samo na 32-bitnim verzijama Windowsa. CCleaner ima ukupno preko 130 milijuna korisnika, od kojih je 15 milijuna na Androidu. Zbog toga, strahuje se od ogromnog potencijala za hakiranje. Čini se da je štetan softver dostavljen samo manjem broju korisnika, a Avast tvrdi da nije zahvaćen niti jedan korisnik Androida.

Paul Young, potpredsjednik Piriforma u svojoj objavi kaže da je neutorizirana modifikacija CCleanera omogućila umetanje dvo-stupanjskog backdoora (softverski tajni ulaz) koji omogućuje pokretanje koda dobivenog od udaljenje IP adrese na zahvaćenim računalima. Problematično je što su i zahvaćene verzije bile aktualne od 15. ili 24. kolovoza sve do 12. rujna, dakle gotovo mjesec dana. Na kraju objave, tvrde da je ukupno zahvaćeno oko 3 posto njegovih korisnika, što broju ipak diže na 3.9 milijuna.

Pod napadom i tech kompanije

Nove informacije ipak ukazuju na to da je ozbiljnost ove priče nešto veća. Avast, sigurnosna kompanija koja je vlasnik Piriforma, sada kaže da se radilo o APT-u (advanced persistent threat – naprednija trajna prijetnja), programu koji je specifično ciljan na velike tehnološke i telekomunikacijske kompanije. Iako se distribucija štetnog koda većim dijelom vršila preko verzije CCleanera za privatne korisnike, dospjela je i na dio računala korisnika koji rade u tech kompanijama, najvjerojatnije preko CCleaner Clouda.

Iako Avast nije izašao sa nazivima kompanija koje su zahvaćene napadom, navodno zbog sigurnosnih razloga, objavili su zemlje u kojima se kompanije nalaze. Među njima su Japan, Tajvan, UK, Njemačka i SAD. Avast ne isključuje da se potencijalno radilo i o nekom napadu u organizaciji ili po nalogu neke države. Ne isključuju ni mogućnost da se radilo o industrijskog špijunaži ogromnih razmjera. No, Avast nije bio spreman na špekuliranje, pa su samo na kraju izjavili da surađuju s nadležnim službama.

Cisco pronašao koje su sve kompanije napadnute

Avast vjeruje da je štetna verzija softvera uspjela i izvršiti drugi dio svoje zadaće, kojim inficira i drugi softver na računalu poput Corelovog i Symantecovog. Prema dijagnostici, ustanovljeno je da se softver uspio ubaciti u dvadeset računala u osam kompanija. Podaci su dostupni samo za tri dana, stoga postoji mogućnost da je napad bio još veći.

Istraživači iz Cisco Talosa, analizirali su zaraženi CCleaner. Uspjeli su doći do digitalne verzije napadačevih servera, koju im je dostavio nepoznati, ali kredibilni izvor. Analizom tog “servera”, došli su do podataka o tome koje su kompanije bile napadnute. Među njima su tech kompanije poput Samsunga, HTC-a i Sonyja, no i telekomi poput O2. Problematičnije je što su napadnute i sigurnosne kompanije poput samog Cisca.

Napadači su potencijalno identificirani

Costin Raiu, direktor Global Researcha i Kaspersky lab, potvrdio je Motherboardu da su uspjeli povezati kineske hakere koji su u prošlosti hakirali Google, s ovim štetnim verzijama CCleanera. Radi se o hakersoj grupi APT17, poznatijoj pod nazivom DeputyDog, koja postoji već preko deset godina. Isto je potvrdio Jay Rosenberg iz kompanije Intezer na svom blogu. Analizom koda ustanovio je da se radi o gotovo jednakom pristupu kojeg koristi APT17.

U operaciji Aurora 2009. godine, osim Googlea upali su u još 30 kompanija. Uspjeli su upasti i u državne institucije, nevladine udruge te odvjetnička društva. Pomalo zabrinjavajuće, uspjeli su upasti i u neke kompanije koje proizvode oružje, informacijsku tehnologiju i one koje se bave rudarstvom. Problematično je što se CCleaner Cloud uglavnom koristi u biznis svijetu, zbog čega je ovaj napad potencijalno veoma štetan.

Ivan Luzar
Telegram autor
226 članaka Više o autoru