Aktualizované: 2,27 milióna používateľov malo nainštalovaný dotknutý softvér na 32-bitových počítačoch so systémom Windows, uviedol výrobca CCleaner Piriform.
Hackeri upravili verzie softvéru CCleaner vlastneného spoločnosťou Avast, aby infikovali potenciálne milióny počítačov pomocou zadných vrátok.
Takzvaný útok dodávateľského reťazca zameraný na používateľov CCleaner objavili výskumníci z tímu Cisco Talos pre kybernetickú bezpečnosť, ktorý nahlásené svoje zistenia pre pražskú antivírusovú firmu Avast 13. septembra.
Avast v júli získal britského výrobcu CCleaner, Piriform, s poznámkou v tom čase produkt mal 130 miliónov používateľov. CCleaner je optimalizačný nástroj pre Windows a Android.
Piriform dnes ráno varoval zákazníkov že 32-bitová edícia Windows verzie 5.33.6162 CCleaner a verzia 1.07.3191 CCleaner Cloud boli „nelegálne upravené pred tým, ako boli uvoľnené pre verejnosť“. Toto sa použilo na infikovanie počítačov zadnými vrátkami, ktoré dokážu spustiť kód zo vzdialenej IP adresy útočníka.
Pokazené verzie CCleaner a CCleaner Cloud boli vydané 15. augusta a 24. augusta.
Podľa Piriformu mohli softvér používať až tri percentá jeho používateľov.
Piriform uviedol, že 2,27 milióna používateľov malo nainštalovaný dotknutý softvér na 32-bitových počítačoch so systémom Windows. "Veríme, že títo používatelia sú teraz v bezpečí, pretože naše vyšetrovanie naznačuje, že sme boli schopní odzbrojiť hrozbu skôr, ako bola schopná spôsobiť škodu," uviedla spoločnosť pre ZDNet.
Podľa Piriform by počítače s napadnutými verziami preniesli názov počítača, IP adresu a zoznam nainštalovaný softvér, zoznam aktívneho softvéru a zoznam sieťových adaptérov pre server tretej strany umiestnený v USA. Spoločnosť to opisuje ako „necitlivé údaje“, ktoré sa použili na profilovanie postihnutých počítačov.
Po zhromaždení údajov malvér stiahol zo servera tretej strany užitočné zaťaženie druhej fázy. Keďže užitočné zaťaženie bolo zašifrované, Piriform nevysvetlil, aká je jeho funkčnosť poznámky že nevidel spustenie tohto užitočného zaťaženia a domnieva sa, že jeho aktivácia je vysoko nepravdepodobná.
Piriform hovorí, že Avast zistil podozrivú aktivitu na svojom sťahovacom serveri deň pred oznámením Cisco, ale neupozornil na to verejnosti až do dnešného dňa kvôli spolupráci s orgánmi činnými v trestnom konaní v USA, ktorá zahŕňala vypnutie postihnutého servera v septembri 15.
„V spolupráci s orgánmi činnými v trestnom konaní v USA sme spôsobili, že tento server bol 15. septembra vypnutý skôr, ako došlo k akémukoľvek známemu poškodeniu. Bolo by prekážkou vyšetrovania orgánov činných v trestnom konaní, aby sa dostali na verejnosť s týmto predtým, ako bol server deaktivovaný a dokončili sme naše počiatočné hodnotenie,“ uviedla spoločnosť v a vyhlásenie.
Spoločnosť tvrdí, že pracovala na odstránení ovplyvnených verzií, ktoré boli distribuované na stránkach tretích strán na sťahovanie. Používateľom CCleaner tiež poslal upozornenie na aktualizáciu na verziu 5.3, ktorá neobsahuje kompromitovaný kód, pričom automaticky aktualizuje CCleaner Cloud na čistú verziu. Používatelia Avast Antivirus tiež dostali automatickú aktualizáciu. Používatelia CCleaner, ktorí neaktualizovali, to musia urobiť manuálne.
Piriform nezistil, ako bol jeho softvér ohrozený. Tím Talos spoločnosti Cisco poznamenáva, že ovplyvnená verzia CCleaner bola podpísaná platným certifikátom, ktorý Symantec vydal spoločnosti Piriform. Vzhľadom na tieto a ďalšie dôkazy, ktoré našli, sa výskumníci domnievajú, že je pravdepodobné, že externý útočník kompromitoval časť vývojového prostredia Piriform, aby zasadil malvér do CCleaner. Druhou možnosťou je zlomyseľný zasvätenec, poznamenáva.