Компания Avast опубликовала краткую хронику инцидента со взломом Piriform.
В прошлом году популярное программное обеспечение для очистки систем CCleaner подверглось масштабной атаке, в ходе которой хакеры скомпрометировали серверы компании Piriform и заменили легитимную версию утилиты на вредоносную. Вредоносное ПО инфицировало более 2,3 млн пользователей, загрузивших или обновивших CCleaner в период с августа по сентябрь 2017 года с официального сайта.
Как выяснилось позднее, хакерам удалось проникнуть в сеть компании почти за пять месяцев до того, как они заменили официальную сборку CCleaner на версию с бэкдором. Об этом сообщил вице-президент компании Avast и технический директор Ондрей Влчек (Ondrej Vlcek) на конференции по безопасности RSA в Сан-Франциско.
Avast опубликовала подробности инцидента, подробно описав, как и когда неизвестные хакеры взломали сети компании Piriform, создавшей CCleaner и приобретенную Avast в июле 2017 года.
11 марта 2017 года. Атакующие впервые получили доступ к рабочей станции одного из разработчиков CCleaner, который был подключен к сети Piriform, используя удаленное программное обеспечение TeamViewer.
Как полагают в компании, злоумышленники повторно использовали учетные данные разработчика, полученные в результате более ранней утечки, для доступа к учетной записи в TeamViewer и с третьей попытки смогли установить вредоносное ПО при помощи скрипта VBScript.
12 марта 2017 года. Используя зараженное устройство, злоумышленники проникли во второй компьютер, подключенный к той же сети, и создали бэкдор через протокол Windows RDP (служба удаленного рабочего стола).
Используя RDP-доступ, злоумышленники загрузили двоичную и вредоносную полезную нагрузку (вредоносное ПО второго этапа, которое позднее было доставлено на 40 компьютеров, принадлежащих крупным технологическим компаниям) в реестр целевого компьютера.
14 марта 2017 года. Атакующие заразили первый компьютер первой версией вредоносного ПО.
4 апреля 2017 года. Атакующие скомпилировали специальную версию бэкдора ShadowPad, позволяющего злоумышленникам загружать дополнительные вредоносные модули и похищать данные. Данную вредоносную полезную нагрузку, по мнению представителей компании, можно считать третьим этапом атаки на CCleaner.
12 апреля 2017 года. Несколько дней спустя злоумышленники установили полезную нагрузку третьего этапа на четырех компьютерах в сети Piriform (в виде библиотеки mscoree.dll) и на сервере, содержащем версию сборки CCleaner (в качестве библиотеки .NET).
Период с середины апреля по июль 2017 года. В данный период злоумышленники подготовили вредоносную версию CCleaner и попытались проникнуть на другие компьютеры во внутренней сети Piriform, установив кейлоггер на уже скомпрометированные системы с целью хищения учетных данных и авторизации с правами администратора через RDP.
18 июля 2017 года. Компания Avast приобрела Piriform.
2 августа 2017 года. Атакующие заменили исходную версию программного обеспечения CCleaner с официального сайта собственной версией, которая была загружена несколькими миллионами пользователей.
13 сентября 2017 года. Исследователи из Cisco Talos обнаружили вредоносную версию программного обеспечения, которая распространялась через официальный сайт компании более месяца, и сразу же уведомили Avast.
Во вредоносной версии CCleaner было скрыто программное обеспечение, предназначенное для кражи данных с зараженных компьютеров.
В течение трех дней после уведомления об инциденте Avast совместно с ФБР отключила C&C-сервер злоумышленников, однако к этому моменту вредоносная версия CCleaner уже была загружена 2,27 млн пользователями.
Помимо этого, было выявлено, что атакующие смогли установить вредоносную полезную нагрузку второго этапа на 40 компьютерах, принадлежащих крупным международным технологическим компаниям, включая Google, Microsoft, Cisco, Intel, Samsung, Sony, HTC, Linksys, D-Link, Akamai и VMware. В то же время у Avast нет свидельств того, что вредонос ShadowPad был загружен на устройства любой из перечисленных выше компаний.
«Как показало наше расследование, ShadowPad ранее использовался в Южной Корее и в России, где злоумышленники взламывали компьютеры для слежки за денежными операциями. Самый старый вредоносный исполняемый файл, использовавшийся в ходе атаки в России, был создан в 2014 году. Исходя из этих данных можно говорить о том, что ответственная за него группировка может заниматься слежкой за пользователями уже в течение многих лет», - отметили специалисты.
Гравитация научных фактов сильнее, чем вы думаете