Softver koji bi trebao da optimalizuje rad računara, poznati CCleaner, je “zaražen” hakerskim softverom. Ovo je odjeknulo kao bomba u IT svijetu.
Neke određene verzije CCleanera su dospjele u ruke hakerima, koji su u njih ugradili svoj maliciozni kod za prikupljanje korisničkih podataka. Svoju verziju softvera su ubacili na službene kanale CCleanera, koji je zatim poslat njegovim korisnicima kao update. Radi se o verzijama CCleaner 5.33.6162 i CCleaner Cloud 1.07.3191, a kompanija sada poziva korisnike da instaliraju verzije od 5.34 na više.
Piriform, developeri CCleanera šalju update za korisnike, dok se korisnici CCleaner Clouda već trebaju služiti novim i sigurnijim verzijama. Štetan softver je navodno bio sposoban da prikuplja podatke kao što je naziv računara, njegova IP adresa, liste instaliranih programa, liste aktivnih programa, te liste svih mrežnih uređaja. Prikupljene podatke je slao na neki drugi server nepovezan s Piriformom, negdje van SAD-a. Piriform trenutno tvrdi da ne mogu da ustanove da li su još neki drugi podaci slati na te servere.
“Zaraženo” više miliona računara
Procjenjuje se da je 2,27 miliona privatnih korisnika zahvaćeno štetnim softverom, ali samo na 32-bitnim verzijama Windowsa. CCleaner ima ukupno preko 130 miliona korisnika, od kojih je 15 miliona na Androidu. Zbog toga se strahuje od ogromnog potencijala za hakovanje. Izgleda da je štetan softver dostavljen samo manjem broju korisnika, a Avast tvrdi da nije zahvaćen ni jedan korisnik Androida.
Paul Young, potpredsjednik Piriforma u svojoj objavi kaže da je neautorizovana modifikacija CCleanera omogućila ubacivanje dvostepenog backdoora (softverski tajni ulaz) koji omogućava pokretanje koda dobijenog od udaljenje IP adrese na zahvaćenim računarima. Problematično je što su i zahvaćene verzije bile aktuelne od 15. ili 24. avgusta sve do 12. septembra, dakle skoro mjesec dana. Na kraju objave, tvrde da je ukupno zahvaćeno oko tri odsto njegovih korisnika, što broj ipak diže na 3,9 miliona.
Pod napadom i tech kompanije
Nove informacije ipak kažu na to da je ozbiljnost ove priče nešto veća. Avast, sigurnosna kompanija koja je vlasnik Piriforma, sada tvrdi da se radilo o APT-u (advanced persistent threat – naprednija trajna prijetnja), programu koji je specifično ciljan na velike tehnološke i telekomunikacione kompanije. Iako se distribucija štetnog koda većim dijelom vršila preko verzije CCleanera za privatne korisnike, dospjela je i na dio računara korisnika koji rade u tech kompanijama, najvjerovatnije preko CCleaner Clouda.
Iako Avast nije izašao sa nazivima kompanija koje su zahvaćene napadom, navodno zbog sigurnosnih razloga, objavili su zemlje u kojima se kompanije nalaze. Među njima su Japan, Tajvan, UK, Njemačka i SAD. Avast ne isključuje da se potencijalno radilo i o nekom napadu u organizaciji ili po nalogu neke države. Ne isključuju ni mogućnost da se radilo o industrijskog špijunaži ogromnih razmjera. Međutim, Avast nije bio spreman na spekulacije, pa su samo na kraju dodali da sarađuju s nadležnim službama.
Cisco pronašao sporne kompanije
Avast vjeruje da je štetna verzija softvera uspjela i izvršiti drugi dio svoje zadaće, kojim inficira i drugi softver na računaru poput Corelovog i Symantecovog. Prema dijagnostici, ustanovljeno je da se softver uspio ubaciti u dvadeset računara u osam kompanija. Podaci su dostupni samo za tri dana, zato postoji mogućnost da je napad bio još veći.
Istraživači iz Cisco Talosa, analizirali su zaraženi CCleaner. Uspjeli su doći do digitalne verzije napadačevih servera, koju im je dostavio nepoznati, ali kredibilni izvor. Analizom tog “servera”, došli su do podataka o tome koje su kompanije bile napadnute. Među njima su tech kompanije poput Samsunga, HTC-a i Sonyja, ali i telekomi poput O2. Problematičnije je što su napadnute i sigurnosne kompanije poput samog Cisca.
Napadači djelimično identifikovani
Costin Raiu, direktor Global Researcha i Kaspersky lab, potvrdio je Motherboardu da su uspjeli da povežu kineske hakere koji su u prošlosti hakovali Google, s ovim štetnim verzijama CCleanera. Radi se o hakersoj grupi APT17, poznatijoj pod nazivom DeputyDog, koja postoji već preko deset godina. Isto je potvrdio Jay Rosenberg iz kompanije Intezer na svom blogu. Analizom koda ustanovio je da se radi o skoro jednakom pristupu koji koristi APT17.
U operaciji Aurora 2009. godine, osim Googlea upali su u još 30 kompanija. Uspjeli su upasti i u državne institucije, nevladine organizacije te advokatska društva. Pomalo zabrinjavajuće, uspjeli su upasti i u neke kompanije koje proizvode oružje, informacionu tehnologiju i one koje se bave rudarstvom. Problematično je što se CCleaner Cloud uglavnom koristi u biznis svijetu, zbog čega je ovaj napad potencijalno veoma štetan.
