Хакеры инфицировали CCleaner для атак на крупнейшие мировые техкомпании

image

Теги: CCleaner, бэкдор, хакеры, Cisco

Эксперты заподозрили в компрометации CCleaner китайскую хакерскую группировку Axiom.

Хакеры, внедрившие бэкдор в популярную утилиту для очистки и оптимизации жесткого диска CCleaner, также пытались атаковать крупнейшие технологические компании, включая Cisco, Singtel, HTC, Samsung, Sony, Gauselmann, Intel, VMWare, O2, Vodafone, Linksys, Epson, MSI, Akamai, DLink, Oracle (Dyn), Microsoft и Google (Gmail).

Как полагают эксперты, к атакам причастна китайская кибергруппировка Axiom, также известная как APT17, DeputyDog, Tailgater Team, Hidden Lynx, Voho, Group 72 или AuroraPanda. Первым свидетельства связи между вредоносным кодом, встроенным в CCleaner, и группировкой Axiom заметил специалист «Лаборатории Касперского» Костин Раю (Costin Raiu), который указал на сходство бэкдора в утилите с трояном Missl, используемым в атаках Axiom.

Чуть позже исследователи из команды Cisco Talos подтвердили предположение Раю, отметив при этом, что не уверены в причастности Axiom к компрометации CCleaner. Экспертам удалось получить копии файлов C&C-сервера, включая его базу данных, на который инфицированные версии утилиты отправляли собранную информацию (имя компьютера, список установленного ПО, перечень активных процессов, MAC-адреса и идентификаторы). После анализа файлов, специалисты пришли к выводу, что предыдущие отчеты о содержавшемся в CCleaner вредоносном ПО Floxif не соответствуют действительности. Как отмечалось ранее, данный вредонос способен загружать и исполнять дополнительную полезную нагрузку, но, по словам команды Cisco Talos, эта функция никогда не использовалась.

В БД C&C-сервера исследователи обнаружили две таблицы, одна содержала информацию о свыше 700 тыс. компьютерах, вторая – о 20 компьютерах, принадлежавших крупным технологическим компаниям, в том числе Samsung, Sony и Akamai. Записи в обеих таблицах датированы периодом с 12 по 16 сентября нынешнего года. По словам специалистов, злоумышленники выбирали жертв по доменному имени компьютера и по меньшей мере 20 из них инфицировали дополнительным вредоносным ПО. Примечательно, что в числе прочих крупных техкомпаний хакеры пытались атаковать и саму Cisco. 


Эксперты уже предупредили затронутые компании о возможных утечках данных.

В компании Avast пока никак не прокомментировали ситуацию.

CCleaner - утилита для очистки и оптимизации жесткого диска. По состоянию на ноябрь 2016 года она была загружена 2 млрд раз и каждую неделю число загрузок увеличивается еще на 5 млн. Разработчиком утилиты является фирма Piriform, которую в 2017 году приобрела компания Avast Software.


Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus