Oblíbený čistič systému, který letos koupil český Avast, měl vážný bezpečnostní problém. CCleaner 5.33.6162 (CCleaner Cloud 1.07.3191) byl od 15. srpna do 12. září distribuován s malwarem, který se nacházel přímo ve spustitelném souboru programu. Podle Avastu se tato verze (a také malware) dostala na 2,27 milionu počítačů. Škodlivý kód podle původní analýzy nesbíral žádné citlivé údaje. Na vzdálený server odesílal jen název počítače, IP adresu, seznam nainstalovaného softwaru, seznam spuštěných programů a seznam síťových adaptérů.
Útok měl mít více fází
Bezpečnostní experti ze skupiny Talos spadající pod Cisco však objevili, že zadní vrátka v CCleaneru měla spustit ještě druhou fázi útoku, který už selektivně cílil na vybrané korporace. Útok byl veden na společnosti jako Microsoft, Samsung, Sony, Intel, HTC, MSI, Linksys, Epson, D-link, Akamai, VMWare, Vodafone, O2, Singtel nebo i samotné Cisco.
Druhá fáze útoku, jejíž úkolem bylo stáhnout další škodlivý kód, měla ohrozit přes 700 000 počítačů. Talos během čtyřdenního monitorování zjistil, že dodatečný malware se s jistotou dostal na více než 20 počítačů. Ani tato fáze nebyla konečná. Podle Talosu by už ale útočníci měli k dispozici všechny údaje potřebné k tomu, aby mohli bez pozorování napáchat škody, které by žádné systémové nástroje nedetekovaly.
Útok sponzorovaný Číňany?
Za útokem možná stojí hackeři z Group 72. Výzkumníci z Kaspersky Lab poskytli Talosu informace o některých dřívějších útocích a ten zneužívající CCleaner se jim hodně podobá. Group 72 označily další bezpečnostní firmy i názvy jako Deep Panda, Axiom nebo Shell_Crew. Údajně jde o čínskou vládou sponzorovanou skupinu zabývající se průmyslovou a politickou špionáží.
Tvůrci CCleaneru původně doporučovali pouze aktualizovat na novější verzi programu. Talos ale říká, že jedinou jistou ochranou je obnovit systém z bezpečné zálohy nebo jej rovnou přeinstalovat. Avast naopak tvrdí, že pro běžné spotřebitele není takový krok nezbytný a doporučuje pouze aktualizovat a používat kvalitní antivirový software.
Jiné je to u korporací. Tam podle Avastu záleží na firemní IT politice. Nelze prý potvrdit, že firemní počítače nemohly být kompromitované. Vyšetřování bude nadále probíhat.
Více informací o napadeném CCleaneru najdete přímo na webu Talosu a Avastu.