r   e   k   l   a   m   a
r   e   k   l   a   m   a

Avast przedstawia listę ofiar złośliwego CCleanera: to był bardzo precyzyjny atak

Strona główna AktualnościBEZPIECZEŃSTWO

Dzięki prowadzonemu przez firmę Avast śledztwu, możemy już ocenić rzeczywistą skalę ataku, jaki przeprowadzony został za pomocą popularnego narzędzia do sprzątania w systemach z rodziny Windows, programu CCleaner. Dostaliśmy prawdopodobnie pełną listę korporacyjnych ofiar. Można też już niemal na pewno powiedzieć, że za atakiem stoją chińscy hakerzy, rozpoznawani najczęściej jako grupa Axiom.

W ostatni piątek Avast przedstawił kolejne wyniki analiz ataku. Badaczom udało się uzyskać dostęp do kolejnego serwera z bazą danych, w której malware przechowywało informacje o zainfekowanych hostach – ale jedynie tych, które padły ofiarą infekcji między 12 a 16 września.

Serwer ten został zlokalizowany pod adresem IP 216.126.225.148 w firmie hostingowej ServerCrate – i przejęty dzięki pomocy organów ścigania. Zapisów wcześniejszych infekcji na nim nie znaleziono. Jak informował zespół Threat Intelligence Avasta, poprzednia baza w której malware przechowywało dane, uległa przepełnieniu i została skasowana oraz postawiona na nowo 12 września.

r   e   k   l   a   m   a

Dzisiaj Avast poinformował, że po dogłębnych poszukiwaniach udało się znaleźć serwer, który pełnił rolę kopii zapasowej oryginalnej bazy danych przed jej reinstalacją. Działał on również na infrastrukturze ServerCrate, pod adresem IP 216.126.225.163.

Dzięki temu odkryciu badacze mają dostęp do niemal kompletnej listy hostów zainfekowanych uzłośliwionym CCleanerem, niemal, bo bez około 40-godzinnego okresu, podczas którego baza była uszkodzona i nie przyjmowała informacji od szkodnika.

Nie takiej skali ataku się spodziewaliśmy

To niewątpliwie jeden z największych cyberataków w historii. Od zatrucia 15 sierpnia br. CCleanera 5.33.6162 szkodnikiem Floxif, ponad 2,27 mln użytkowników pobrało uzłośliwioną wersję tej bardzo przecież popularnej aplikacji. Z pozyskanych z obu serwerów danych wynika, że zainfekowanych zostało przynajmniej 1 646 536 maszyn.

W świetle tych informacji tym większe wrażenie robi liczba komputerów, na które serwery dowodzenia i kontroli wysłały drugi złośliwy ładunek, tj. autorskie narzędzie zdalnego dostępu do systemów Windows. Było ich czterdzieści. Wszystkie należą do dużych firm komputerowych, internetowych i telekomunikacyjnych.

Avast przedstawił ich pełne zestawienie. 13 zainfekowanych komputerów znajduje się w sieci Chunghwa Telecom, tajwańskiego dostawcy Internetu. Druga na liście jest japońska firma NEC z 10 komputerami, trzeci Samsung, gdzie zainfekowane zostało pięć maszyn. Pozostałe firmy, na których komputerach znalazły się furtki, to ASUS, Fujitsu, Sony, O2, Gauselmann, Singtel, Intel i VMWare.

Lista ta obejmuje jedynie udane infekcje. Z filtrów umieszczonych na serwerach napastników wynika, że zainfekować chciano też takie firmy jak Google, Microsoft, HTC, Vodafone, Linksys, Epson, MSI, Akamai, Dlink i Oracle, we wcześniejszym etapie, do 10 września, próbowano też dostać się do komputerów Akamai, Cisco, Cyberdyne, Tactical Technologies Inc. (TTI) oraz GoDaddy.

Uporczywe zagrożenie z Chin?

Ludzie z Avasta znaleźli też kolejne dowody, potwierdzające opinie badaczy Cisco i Kaspersky Lab – atak miał zostać przeprowadzony przez grupę Axiom (znaną też jako APT17, DeputyDog, Tailgater Team, Hidden Lynx, Voho, Group 72, lub AuroraPanda).

Dowodzić tego mają kod PHP znaleziony na serwerach dowodzenia i kontroli, podobieństwo innych fragmentów kodu do używanych wcześniej przez Axiom szkodników, zapisy w logach myPHPadmina, oraz aktywność napastników, przeprowadzających sporo ręcznych operacji na swoich serwerach. Odpowiada ona chińskim strefom czasowym i sugeruje, że ktoś był do tej pracy zatrudniony na pełny etat.

Avast nie chce jednak jednoznacznie wskazać na Chiny. Ludzie z Threat Intelligence zauważają, że takie dowody łatwo sfałszować, choćby po to, by sprowadzić prowadzących śledztwo na fałszywy trop.

Jak sprawdzić swoje systemy?

Zainteresowani sprawdzeniem, czy ich sieć nie została spenetrowana, powinni zapoznać się bezpośrednio z wpisem na blogu Avasta. Przedstawiono tam najbardziej aktualne wskaźniki infekcji (IOC) – skróty uzłośliwionych plików, zarówno pierwszego jak i drugiego etapu, zmiany w Rejestrze oraz wykorzystywane adresy URL.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.