Više milijuna ljudi zahvaćeno štetnim softverom

Procjenjuje se da je 2.27 milijuna privatnih korisnika zahvaćeno štetnim softverom, no samo na 32-bitnim verzijama Windowsa. CCleaner ima ukupno preko 130 milijuna korisnika, od kojih je 15 milijuna na Androidu. Zbog toga, strahuje se od ogromnog potencijala za hakiranje. Čini se da je štetan softver dostavljen samo manjem broju korisnika, a Avast tvrdi da nije zahvaćen niti jedan korisnik Androida.

Paul Young, potpredsjednik Piriforma u svojoj objavi kaže da je neutorizirana modifikacija CCleanera omogućila umetanje dvo-stupanjskog backdoora (softverski tajni ulaz) koji omogućuje pokretanje koda dobivenog od udaljenje IP adrese na zahvaćenim računalima. Problematično je što su i zahvaćene verzije bile aktualne od 15. ili 24. kolovoza sve do 12. rujna, dakle gotovo mjesec dana. Na kraju objave, tvrde da je ukupno zahvaćeno oko 3 posto njegovih korisnika, što broju ipak diže na 3.9 milijuna.

Pod napadom i tech kompanije

Nove informacije ipak ukazuju na to da je ozbiljnost ove priče nešto veća. Avast, sigurnosna kompanija koja je vlasnik Piriforma, sada kaže da se radilo o APT-u (advanced persistent threat – naprednija trajna prijetnja), programu koji je specifično ciljan na velike tehnološke i telekomunikacijske kompanije. Iako se distribucija štetnog koda većim dijelom vršila preko verzije CCleanera za privatne korisnike, dospjela je i na dio računala korisnika koji rade u tech kompanijama, najvjerojatnije preko CCleaner Clouda.

Iako Avast nije izašao sa nazivima kompanija koje su zahvaćene napadom, navodno zbog sigurnosnih razloga, objavili su zemlje u kojima se kompanije nalaze. Među njima su Japan, Tajvan, UK, Njemačka i SAD. Avast ne isključuje da se potencijalno radilo i o nekom napadu u organizaciji ili po nalogu neke države. Ne isključuju ni mogućnost da se radilo o industrijskog špijunaži ogromnih razmjera. No, Avast nije bio spreman na špekuliranje, pa su samo na kraju izjavili da surađuju s nadležnim službama.

Cisco pronašao koje su sve kompanije napadnute

Avast vjeruje da je štetna verzija softvera uspjela i izvršiti drugi dio svoje zadaće, kojim inficira i drugi softver na računalu poput Corelovog i Symantecovog. Prema dijagnostici, ustanovljeno je da se softver uspio ubaciti u dvadeset računala u osam kompanija. Podaci su dostupni samo za tri dana, stoga postoji mogućnost da je napad bio još veći.

Istraživači iz Cisco Talosa, analizirali su zaraženi CCleaner. Uspjeli su doći do digitalne verzije napadačevih servera, koju im je dostavio nepoznati, ali kredibilni izvor. Analizom tog “servera”, došli su do podataka o tome koje su kompanije bile napadnute. Među njima su tech kompanije poput Samsunga, HTC-a i Sonyja, no i telekomi poput O2. Problematičnije je što su napadnute i sigurnosne kompanije poput samog Cisca.

CCleaner Command and Control Causes Concern https://t.co/I3I3JO3vZc pic.twitter.com/qQ7tKdmPhq

— Cisco Talos Intelligence Group (@TalosSecurity) September 20, 2017

Napadači su potencijalno identificirani

Costin Raiu, direktor Global Researcha i Kaspersky lab, potvrdio je Motherboardu da su uspjeli povezati kineske hakere koji su u prošlosti hakirali Google, s ovim štetnim verzijama CCleanera. Radi se o hakersoj grupi APT17, poznatijoj pod nazivom DeputyDog, koja postoji već preko deset godina. Isto je potvrdio Jay Rosenberg iz kompanije Intezer na svom blogu. Analizom koda ustanovio je da se radi o gotovo jednakom pristupu kojeg koristi APT17.

U operaciji Aurora 2009. godine, osim Googlea upali su u još 30 kompanija. Uspjeli su upasti i u državne institucije, nevladine udruge te odvjetnička društva. Pomalo zabrinjavajuće, uspjeli su upasti i u neke kompanije koje proizvode oružje, informacijsku tehnologiju i one koje se bave rudarstvom. Problematično je što se CCleaner Cloud uglavnom koristi u biznis svijetu, zbog čega je ovaj napad potencijalno veoma štetan.