Ir parādījušās ziņas, ka populārā personālo datoru un Android optimizācijas programmatūras CCleaner inficētā versija ir izplatījusi ļaunprātīgu programmatūru lielam skaitam datoru lietotāju. Atklājums pirmo reizi tīmeklī nonāca pirmdienas rītā, kad programmatūras izstrādātājs Piriform publicēja emuāra ziņu par šo tēmu. Labā ziņa ir tā, ka tika ietekmēti tikai cilvēki, kas CCleaner izmanto 32 bitu Windows sistēmās.


Kopš sižeta pirmās izplatīšanas datoru drošības firma Avast ir paziņojusi, ka līdz 2,27 miljoniem CCleaner lietotāju, iespējams, ir ietekmējusi ļaunprogrammatūra, kas tika paslēpta populārās datoru veiktspējas optimizācijas programmatūras oficiālajās versijās. Kopš tā laika Cisco veiktie pētījumi ir atklājuši, ka patiesais infekciju skaits ir mazāks - apmēram 700 000 datoru.

Saskaņā ar Piriform bloga ierakstu, inficētās CCleaner kopijas tika izplatītas laika posmā no 15. augusta līdz 12. septembrim. Piriform saka, ka tās programmatūras versijas, kas tika apdraudētas, ir CCleaner 5.33.6162 un CCleaner Cloud 1.07.3191.

Piriform mudina visus CCleaner lietotājus pēc iespējas ātrāk lejupielādēt 5.34 vai jaunāku versiju. Ir vērts atzīmēt, ka CCleaner Cloud lietotāji būs automātiski saņēmuši atjauninājumu. Tomēr citi CCleaner lietotāji, iespējams, joprojām darbojas apdraudētā versija, tāpēc manuāla atjaunināšana ir ārkārtīgi svarīga šiem patērētājiem.

Pagaidām nav zināms, kā hakeriem izdevās slēpt ļaundabīgo kodu oficiālajā CCleaner versijā. No Piriform emuāra ziņas:

“Mēs noskaidrojām, ka CCleaner versijas 5.33.6162 versija un 1.07.3191 versijas CCleaner Cloud versija tika nelikumīgi modificēta, pirms tā tika publiskota, un mēs sākām izmeklēšanas procesu. Mēs arī nekavējoties sazinājāmies ar tiesībaizsardzības vienībām un sadarbojāmies ar tām problēmas atrisināšanā. ”

"Nejutīgs" Dati nozagti

Līdz šim Piriform spēja pārliecināties, ka ļaunprātīgā programmatūra sazinājās ar Command and Control (CnC) serveri, kas atrodas ASV. Šķiet, ka hakeri ir izmantojuši ļaunprātīgu programmatūru, lai novāktu to, ko uzņēmums raksturo kā “sensitīvus” datus.

Šajos datos ietilpst lietotāja datora nosaukums, IP adrese, visaptverošs viņu mašīnā instalētās programmatūras saraksts, aktīvās programmatūras saraksts un tīkla adapteru saraksts. Piriform ir informējis lietotājus, ka:

“Mums nav norāžu, ka uz serveri būtu nosūtīti kādi citi dati.

“Sadarbojoties ar ASV tiesībaizsardzības iestādēm, mēs 15. septembrī pirms šī zināmā kaitējuma nodarīšanas slēdzām serveri. Būtu bijis šķērslis tiesībaizsardzības aģentūras izmeklēšanai, ja tā būtu publiskota, pirms serveris tika atspējots un mēs bijām pabeiguši mūsu sākotnējo novērtējumu. ”

Avast

Avast iesaistīšanās

Interesanti, ka drošības gigants Avast (kas nodrošina drošības produktus datoru lietotājiem visā pasaulē) nesen iegādājās CCleaner izstrādātāju Piriform. Šī iegāde tika pabeigta tikai pirms diviem mēnešiem - 2017. gada jūlijā. Šī iemesla dēļ lēkmes laiks, maigi izsakoties, ir nedaudz skumjš. Fakts, ka ļaunprātīgā programmatūra pirms tās publiskošanas padarīja to par oficiālu CCleaner versiju, varētu nozīmēt, ka hakeris darbojas no iekšpuses. Tikai laiks rādīs.

Pārstāvis Avast vārdā ir sniedzis šādus komentārus:

“Mēs uzskatām, ka šie lietotāji tagad ir droši, jo mūsu izmeklēšana liecina, ka mēs varējām atbruņot draudus, pirms tie varēja nodarīt jebkādu kaitējumu.

"Mēs lēšam, ka 2,27 miljoniem lietotāju attiecīgā programmatūra bija instalēta 32 bitu Windows mašīnās."

Dažas labas ziņas

Neskatoties uz lielo sākotnējo infekciju aplēsi, šķiet, ka Piriform ir paveicies. Avast iegādes laikā tika apgalvots, ka CCleaner ir milzīgi aktīvi 130 miljoni lietotāju, tostarp 15 miljoni Android. Sakarā ar to, ka infekcija notika tikai ar CCleaner versijām, kas darbojas ar 32 bitu Windows datoriem, šķiet, ka tika ietekmēts salīdzinoši neliels skaits CCleaner lietotāju (tikai 700 000 mašīnu, pēc Cisco datiem).

Korporatīvie mērķi

Korporatīvie mērķi

Neskatoties uz to, ka mērķauditorija bija tikai neliels skaits CCleaner lietotāju, tagad ir parādījušies pierādījumi, ka hakeri ļoti konkrēti mēģināja inficēt korporatīvos mērķus. Šo atklājumu atklāja drošības eksperti, kuri analizēja hakeru izmantoto CnC serveri.

Cisco Talos drošības nodaļas pētnieki apgalvo, ka ir atraduši pierādījumus tam, ka 20 lielas korporācijas bija īpaši paredzētas infekcijai. Starp šīm firmām ir Intel, Google, Samsung, Sony, VMware, HTC, Linksys, Microsoft, Akamai, D-Link un pati Cisco. Pēc Cisco teiktā, apmēram pusē no šiem gadījumiem hakeriem izdevās inficēt vismaz vienu mašīnu. Tas darbojās kā aizmugure viņu CnC serverim, lai nodrošinātu sarežģītāku kravas daudzumu. Cisco uzskata, ka ekspluatāciju bija paredzēts izmantot korporatīvajai spiegošanai.

Interesanti, ka gan Cisco, gan Kaspersky norāda, ka CCleaner ietvertajam ļaunprātīgās programmatūras kodam ir kāds kods ar ekspluatācijām, ko izmanto Ķīnas valdības hakeri, kas pazīstami kā 72. grupa vai Axiom. Ir pāragri pateikt, bet tas var nozīmēt, ka kiberuzbrukums bija valsts atbalstīta operācija.

Komentē Talos pētījumu vadītājs Kreigs Viljamss,

"Kad sākotnēji to atradām, mēs zinājām, ka tas ir inficējis daudzus uzņēmumus. Tagad mēs zinām, ka tas tika izmantots kā dražets, lai mērķētu uz šiem 20 uzņēmumiem visā pasaulē ... lai iegūtu pēdas uzņēmumiem, kuriem ir vērtīgas lietas nozagt, ieskaitot Cisco."

Cisco

Noķerti agri

Par laimi Piriform spēja pamanīt uzbrukumu pietiekami agri, lai apturētu tā pasliktināšanos. Komentē Piriform viceprezidents Pols Yung,

"Šajā posmā mēs nevēlamies spekulēt, kā CCleaner programmatūrā parādījās neatļauts kods, no kurienes uzbrukums radās, cik ilgi tas tika gatavots un kurš aiz tā stāvēja."

Tomēr Cisco ātri norādīja, ka uzņēmumiem, uz kuriem attiecas mērķa grupa (ar kuriem viņi jau ir sazinājušies), vienkārši ar CCleaner atjaunināšanu var nebūt pietiekami, jo sekundārā krava to sistēmās var būt paslēpta. Tas varētu būt saziņa ar atsevišķu CnC serveri ar līdz šim neatklātu serveri. Tas nozīmē, ka ir iespējams, ka hakeri šīm mašīnām ir piegādājuši vēl vairāk ekspluatācijas.

Šī iemesla dēļ Cisco iesaka atjaunot visas potenciāli inficētās mašīnas pirms laika, kad tajās tika instalēta piesārņotā Piriform programmatūras versija..

Cclener Trojan

TR / RedCap.zioqa

Pēc viena CCleaner lietotāja, saukta par Sky87, teiktā, viņi otrdien atvēra CCleaner, lai pārbaudītu, kāda versija viņiem ir. Tajā brīdī 32 bitu binārais tika uzreiz ievietots karantīnā ar ziņojumu, kurā identificēta ļaunprogrammatūra kā TR / RedCap.zioqa. TR / RedCap.zioqa ir Trojas zirgs, kas jau ir labi pazīstams drošības ekspertiem. Avira atsaucas uz to kā,

“Trojas zirgs, kurš spēj izspiegot datus, pārkāpt jūsu privātumu vai veikt nevēlamas izmaiņas sistēmā.”

Ko darīt

Ja jums ir bažas par savu CCleaner versiju, pārbaudiet, vai sistēmā nav Windows reģistra atslēgas. Lai to izdarītu, dodieties uz: HKEY_LOCAL_MACHINE >PROGRAMMATŪRA >Piriforms >Agomo. Ja atrodas mape Agomo, būs divas vērtības, nosauktas MUID un TCID. Tas norāda, ka jūsu mašīna patiešām ir inficēta.

Ir vērts atzīmēt, ka, atjauninot sistēmu uz CCleaner versiju 5.34, Agomo atslēga netiek noņemta no Windows reģistra. Tas tikai ļaunprātīgās izpildāmās programmas aizstāj ar likumīgajām, lai ļaunprātīgā programmatūra vairs neradītu draudus. Ja jūs jau esat atjauninājis uz jaunāko CCleaner versiju un redzat Agomo Key, tas nav par ko uztraukties.

Visiem, kas baidās, ka viņu sistēma varētu būt inficēti ar Trojas zirga TR / RedCap.zioqa versiju, labākais padoms ir izmantot bezmaksas ļaunprogrammatūru noteikšanas un noņemšanas rīku SpyHunter. Alternatīvi šeit ir detalizēts ceļvedis par Trojas zirga noņemšanu.

Atzinumi ir rakstnieka paša ziņā.

Nosaukuma attēla kredīts: CCleaner logotipa ekrānuzņēmums.

Attēlu kredīti: dennizn / Shutterstock.com, Vintage Tone / Shutterstock.com, Denis Linine / Shutterstock.com, Iaremenko Sergii / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me