חדשות התברר כי גרסה נגועה של תוכנת האופטימיזציה הטובה ביותר למחשבים אישיים ואנדרואיד CCleaner הפיצה תוכנות זדוניות למספר גדול של משתמשי מחשבים.. הגילוי עלה לראשונה ברשת ביום שני בבוקר, כאשר מפתח התוכנה Piriform פרסם פוסט בבלוג בנושא. החדשות הטובות הן שרק אנשים שמפעילים את ה- CCleaner במערכות Windows עם 32 סיביות הושפעו.


מאז התפרקות הסיפור לראשונה, חברת אבטחת המחשבים Avast הודיעה כי עד 2.27 מיליון משתמשי CCleaner עשויים להיות מושפעים מהתוכנות הזדוניות שהוחבאו בגירסאות רשמיות של תוכנת אופטימיזציית ביצועי ה- PC הפופולרית. מאז, מחקר של סיסקו גילה כי המספר האמיתי של זיהומים נמוך יותר, בסביבות 700,000 מחשבים אישיים.

על פי פוסט הבלוג של פיריפור, עותקים נגועים של CCleaner הופצו בין 15 באוגוסט ל -12 בספטמבר. Piriform אומר כי הגרסאות של התוכנה שלה שנפגעו הן CCleaner 5.33.6162 ו- CCleaner Cloud 1.07.3191.

Piriform קוראת לכל משתמשי CCleaner להוריד את גרסת 5.34 ומעלה בהקדם האפשרי. ראוי לציין שמשתמשים ב- CCleaner Cloud יקבלו את העדכון באופן אוטומטי. עם זאת, משתמשים אחרים ב- CCleaner עשויים עדיין להפעיל את הגירסה שנפגעה, לכן עדכון ידני הוא חשוב ביותר עבור אותם צרכנים.

טרם ידוע כיצד האקרים הצליחו להסתיר את הקוד הרשע בגירסה הרשמית של CCleaner. מהפוסט בבלוג של Piriform:

"גילינו שגירסת 5.3l.6162 של CCleaner וגירסת 1.07.3191 של CCleaner Cloud השתנו באופן לא חוקי לפני ששוחררה לציבור והתחלנו בהליך חקירה. יצרנו קשר מיד עם יחידות אכיפת החוק ועבדנו איתם בפתרון הנושא. "

"לא רגיש" נתונים נגנבים

עד כה Piriform הצליחה לוודא שהתוכנה הזדונית הייתה מתקשרת עם שרת Command and Control (CnC) שנמצא בארצות הברית. נראה כי האקרים השתמשו בתוכנה הזדונית כדי לקצור את מה שהמשרד מתאר כנתונים "לא רגישים".

נתונים אלה כוללים את שם המחשב, כתובת ה- IP של המשתמש, רשימה מקיפה של תוכנות המותקנות במחשב שלהם, רשימת תוכנות פעילות ורשימת מתאמי רשת. Piriform הודיעה למשתמשים כי:

"אין לנו אינדיקציות לכך שנשאר נתונים אחרים לשרת.

"בעבודה עם אכיפת החוק האמריקאית, גרמנו לכיבוי השרת הזה ב- 15 בספטמבר לפני שנגרם נזק ידוע כלשהו. זה יכול היה להכשיל את החקירה של סוכנות אכיפת החוק לפרסום בנושא לפני שהשרת הושבת והשלמנו את ההערכה הראשונית שלנו, "

אווסט

מעורבותו של אווסט

מעניין לציין כי ענקית האבטחה Avast (המספקת מוצרי אבטחה עבור משתמשי מחשבים ברחבי העולם) רכשה רק לאחרונה את מפתחת CCleaner Piriform. רכישה זו הושלמה רק לפני כחודשיים, ביולי 2017. מסיבה זו, עיתוי הפיגוע הוא מעט מגרד ראש, בלשון המעטה. העובדה שהתוכנה הזדונית העלתה אותה לגירסה רשמית של CCleaner לפני שהיא שוחררה לציבור יכולה להיות שההאקר עובד מבפנים. רק הזמן יגיד.

דובר מטעם אווסט העיר את הדברים:

"אנו מאמינים שמשתמשים אלה בטוחים כעת מכיוון שהחקירה שלנו מצביעה על כך שהצלחנו לפרוק את האיום לפני שהצליחה להזיק..

"אנו מעריכים כי ל- 2.27 מיליון משתמשים התקנת התוכנה המושפעת במחשבי Windows עם 32 סיביות."

כמה חדשות טובות

למרות הערכה ראשונית גדולה של זיהומים, נראה כי Piriform היה די בר מזל. בעת הרכישה של Avast נטען כי ל- CCleaner יש 130 מיליון משתמשים פעילים, כולל 15 מיליון באנדרואיד. בשל העובדה שהזיהום מוגבל רק לגירסאות של CCleaner הפועלות במחשבי Windows של 32 סיביות, נראה כי מספר קטן יחסית של משתמשי CCleaner הושפעו (700,000 מכונות בלבד, לפי נתוני סיסקו)..

יעדים עסקיים

יעדים עסקיים

למרות שכיוונו רק מספר קטן של משתמשים ב- CCleaner, כעת התבררו עדויות לכך שההאקרים ניסו מאוד להדביק מטרות ארגוניות. גילוי זה נחשף על ידי מומחי אבטחה שניתחו את שרת ה- CnC ששימש את ההאקר.

חוקרים מחטיבת האבטחה Talos של סיסקו טוענים כי הם מצאו ראיות לכך ש 20 תאגידים גדולים היו מכוונים במיוחד לזיהום. בין חברות אלו נמנות אינטל, גוגל, סמסונג, סוני, VMware, HTC, לינקסיס, מיקרוסופט, אקמאי, D-Link וסיסקו עצמה. לטענת סיסקו, בכמחצית מהמקרים ההם, האקרים הצליחו להדביק לפחות מכונה אחת. זה שימש כפתח אחורי לשרת ה- CnC שלהם כדי לספק עומס מתוחכם יותר. סיסקו מאמינה כי ניצול נועד לשמש לריגול של חברות.

מעניין לציין כי לפי סיסקו וגם קספרסקי, קוד התוכנה הזדונית הכלול ב- CCleaner חולק קוד כלשהו עם עלילות בהן השתמשו האקרים ממשלתיים סיניים המכונים Group 72, או Axiom. עוד מוקדם לדעת, אך יתכן שמשמעות הדבר היא כי מתקפת הסייבר הייתה פעולה בחסות מדינה.

מנהל המחקר בטאלוס, קרייג וויליאמס, מעיר,

"כשמצאנו את זה בתחילה, ידענו שזה הדביק חברות רבות. כעת אנו יודעים ששימשו כמאגרה למטרת 20 החברות הללו ברחבי העולם ... להשיג דריסת רגל בחברות שיש להן דברים חשובים לגנוב, כולל סיסקו לרוע המזל."

סיסקו

נתפס מוקדם

למרבה המזל Piriform הצליח לאתר את ההתקפה מוקדם מספיק בכדי למנוע ממנו להחמיר הרבה יותר. סגן נשיא פיריפור, פול יונג, מעיר,

"בשלב זה איננו רוצים לשער כיצד הופיע הקוד הבלתי מורשה בתוכנת CCleaner, מאיפה מקור ההתקפה, כמה זמן הוא נערך ומי עומד מאחוריו."

עם זאת, סיסקו מיהרה לציין כי עבור חברות שממוקדות אליהן (שאליהן כבר יצרו קשר), פשוט עדכון CCleaner עשוי לא להספיק מכיוון שעומס המשא המשני עשוי להסתיר בתוך המערכות שלהם. זה יכול להיות בתקשורת עם שרת CnC נפרד לזה שנחשף עד כה. פירוש הדבר שייתכן כי האקרים אפילו ניצולים רבים יותר נמסרו על אותם מכונות.

מסיבה זו, סיסקו ממליצה להחזיר את כל המכונות שעשויות להיות נגועות לתקופה שלפני שהותקנה הגרסה המזוהמת של תוכנת Piriform עליהם..

קליינר טרויאני

TR / RedCap.zioqa

לדברי משתמש אחד של CCleaner, המכונה Sky87, הם פתחו את CCleaner ביום שלישי כדי לבדוק איזו גרסה יש להם. בשלב זה, הבינארי של 32 סיביות הוסגר מייד בהסגר עם הודעה המזהה את התוכנה הזדונית כ- TR / RedCap.zioqa. TR / RedCap.zioqa הוא טרויאני שכבר ידוע למומחי אבטחה. אבירה מתייחסת לזה כאל,

"סוס טרויאני שמסוגל לרגל נתונים, להפר את פרטיותך או לבצע שינויים לא רצויים במערכת."

מה לעשות

אם אתה מודאג לגבי גרסת ה- CCleaner שלך, בדוק אם יש במערכת שלך מפתח רישום של Windows. לשם כך, עבור אל: HKEY_LOCAL_MACHINE >תוכנה >פירפיר >אגומו. אם תיקיית Agomo קיימת יהיו שני ערכים, בשם MUID ו- TCID. זה מסמל כי המכונה שלך אכן נגועה.

ראוי לציין כי עדכון המערכת שלך ל- CCleaner בגירסה 5.34 אינו מסיר את מפתח Agomo ממרשם Windows. זה רק מחליף את ההפעלה הזדונית בכפייה לגיטימית, כך שהתוכנה הזדונית כבר לא מהווה איום. ככאלה, אם עדכנתם כבר לגירסא האחרונה של CCleaner וראיתם את מפתח אגומו, זה לא משהו שצריך לדאוג לו.

עבור כל מי שחושש שהמערכת שלהם יכולה להידבק בגירסה של הטרויאני TR / RedCap.zioqa, העצה הטובה ביותר היא להשתמש בכלי לזיהוי והסרת תוכנות זדוניות בחינם SpyHunter. לחלופין, יש כאן מדריך צעד אחר צעד להסרת הטרויאני כאן.

הדעות הן של הסופר.

קרדיט תמונת כותרת: תמונת מסך של לוגו CCleaner.

נקודות זכות: dennizn / Shutterstock.com, Vintage Tone / Shutterstock.com, Denis Linine / Shutterstock.com, Iaremenko Sergii / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me