Нові дані про інцидент з CCleaner вказують на підготовку третього етапу атаки

Інцидент з CCleaner в минулому році наробив багато шуму, і фахівці з безпеки продовжують його вивчення. Нагадаємо: 18, вересня 2017 року компанія Avast повідомила, що CCleaner був використаний кіберзлочинцями, щоб поширювати шкідливе ПЗ через інсталяційний файл утиліту. Змінений файл установки був завантажений 2,27 млн користувачів. Шкідливе ПО потрапило на сервери Piriform, що розробляє CCleaner, в період з 11 березня по 4 липня 2017 року до придбання Piriform компанією Avast 18 липня 2017 року.

Перший етап шкідливого ПО був розроблений для збору нечутливої інформації від користувачів CCleaner, включаючи, наприклад, ім’я комп’ютера, список встановленого програмного забезпечення і список запущених процесів. Цей етап включав в себе можливості завантажувача, які були використані для установки двійкового коду другого етапу всього лише на 40 комп’ютерів з мільйонів пристроїв, заражених першою хвилею. Тобто атака була вкрай вибірковою. Нещодавно Avast опублікувала інформацію про те, що міг бути і третій передбачуваний етап атаки. Втім, доказів того, що бінарний файл третього етапу був завантажений на заражені комп’ютери, у компанії немає.

Щоб усунути загрозу з мережі Piriform, компанія перенесла збірку Piriform в інфраструктуру Avast, замінила все обладнання і перевела персонал на внутрішню IT-систему Avast. Компанія здійснила ретельну перевірку інфраструктури Piriform і комп’ютерів і виявила попередні версії першого і другого етапів, а також докази використання на чотирьох комп’ютерах спеціалізованого інструменту ShadowPad, який застосовується деякими кіберзлочинцями. Версія була, схоже, спеціально розроблена для атаки на Piriform і встановлена ​​другим етапом атаки.

Імовірно, за всіма атаками на CCleaner стоїть китайська група хакерів Axiom, яка і є автором ShadowPad. Avast виявила і журнальні файли ShadowPad, які містили зашифровані натискання клавіш зі встановленого на комп’ютерах клавіатурного шпигуна, який працював з 12 квітня 2017 року. За допомогою ShadowPad кіберзлочинці могли управляти чотирма зараженими системами віддалено, збирати облікові дані і аналізувати операції. Крім клавіатурного шпигуна на комп’ютерах були встановлені інші інструменти, в тому числі утиліти для викрадення паролів і віддаленої установки додаткового ПЗ.

ShadowPad був встановлений на системах мережі Piriform, але жоден з комп’ютерів користувачів CCleaner, схоже, не був заражений. Втім, Avast вважає, що це планувалося в рамках третього етапу. У той час як близько 2,27 млн ​​клієнтів CCleaner і підприємств завантажили заражений продукт CCleaner, зловмисники встановили шкідливий код другого етапу тільки на 40 систем, що обслуговуються високотехнологічними і телекомунікаційними компаніями.