Avast przedstawia listę ofiar złośliwego CCleanera: to był bardzo precyzyjny atak

Dzięki prowadzonemu przez firmę Avast śledztwu, możemy jużocenić rzeczywistą skalę ataku, jaki przeprowadzony został zapomocą popularnego narzędzia do sprzątania w systemach z rodzinyWindows, programuCCleaner. Dostaliśmy prawdopodobnie pełną listę korporacyjnychofiar. Można też już niemal na pewno powiedzieć, że zaatakiem stoją chińscy hakerzy, rozpoznawani najczęściej jakogrupa Axiom.

W ostatni piątek Avast przedstawił kolejne wyniki analiz ataku.Badaczom udało się uzyskać dostęp do kolejnego serwera z baządanych, w której malware przechowywało informacje o zainfekowanychhostach – ale jedynie tych, które padły ofiarą infekcji między12 a 16 września.

Serwer ten został zlokalizowany pod adresem IP216.126.225.148 w firmie hostingowej ServerCrate – i przejętydzięki pomocy organów ścigania. Zapisów wcześniejszych infekcjina nim nie znaleziono. Jak informował zespół Threat IntelligenceAvasta, poprzednia baza w której malware przechowywało dane, uległaprzepełnieniu i została skasowana oraz postawiona na nowo 12września.

Dzisiaj Avast poinformował, że po dogłębnych poszukiwaniachudało się znaleźć serwer, który pełnił rolę kopiizapasowej oryginalnej bazy danych przed jej reinstalacją. Działałon również na infrastrukturze ServerCrate, pod adresem IP216.126.225.163.

Dzięki temu odkryciu badacze mają dostęp do niemal kompletnejlisty hostów zainfekowanych uzłośliwionym CCleanerem, niemal, bobez około 40-godzinnego okresu, podczas którego baza byłauszkodzona i nie przyjmowała informacji od szkodnika.

To niewątpliwie jeden z największych cyberataków w historii. Odzatrucia 15 sierpnia br. CCleanera 5.33.6162 szkodnikiem Floxif,ponad 2,27 mln użytkowników pobrało uzłośliwioną wersję tejbardzo przecież popularnej aplikacji. Z pozyskanych z obu serwerów danychwynika, że zainfekowanych zostało przynajmniej 1 646 536 maszyn.

W świetle tych informacji tym większe wrażenie robi liczbakomputerów, na które serwery dowodzenia i kontroli wysłały drugizłośliwy ładunek, tj. autorskie narzędzie zdalnego dostępu dosystemów Windows. Było ich czterdzieści. Wszystkie należą dodużych firm komputerowych, internetowych i telekomunikacyjnych.

Avast przedstawił ich pełne zestawienie. 13 zainfekowanychkomputerów znajduje się w sieci Chunghwa Telecom, tajwańskiegodostawcy Internetu. Druga na liście jest japońska firma NEC z 10komputerami, trzeci Samsung, gdzie zainfekowane zostało pięćmaszyn. Pozostałe firmy, na których komputerach znalazły sięfurtki, to ASUS, Fujitsu, Sony, O2, Gauselmann, Singtel, Intel iVMWare.

Lista ta obejmuje jedynie udane infekcje. Z filtrów umieszczonychna serwerach napastników wynika, że zainfekować chciano też takiefirmy jak Google, Microsoft, HTC, Vodafone, Linksys, Epson, MSI,Akamai, Dlink i Oracle, we wcześniejszym etapie, do 10 września,próbowano też dostać się do komputerów Akamai, Cisco, Cyberdyne,Tactical Technologies Inc. (TTI) oraz GoDaddy.

Ludzie z Avasta znaleźli też kolejne dowody, potwierdzająceopinie badaczy Cisco i Kaspersky Lab – atak miał zostaćprzeprowadzony przez grupę Axiom (znaną też jako APT17, DeputyDog,Tailgater Team, Hidden Lynx, Voho, Group 72, lub AuroraPanda).

Dowodzić tego mają kod PHP znaleziony na serwerach dowodzenia ikontroli, podobieństwo innych fragmentów kodu do używanychwcześniej przez Axiom szkodników, zapisy w logach myPHPadmina, orazaktywność napastników, przeprowadzających sporo ręcznychoperacji na swoich serwerach. Odpowiada ona chińskim strefomczasowym i sugeruje, że ktoś był do tej pracy zatrudniony na pełnyetat.

Avast nie chce jednak jednoznacznie wskazać na Chiny. Ludzie zThreat Intelligence zauważają, że takie dowody łatwo sfałszować,choćby po to, by sprowadzić prowadzących śledztwo na fałszywytrop.

Zainteresowani sprawdzeniem, czy ich sieć nie zostałaspenetrowana, powinni zapoznać się bezpośrednio z wpisemna blogu Avasta. Przedstawiono tam najbardziej aktualne wskaźnikiinfekcji (IOC) – skróty uzłośliwionych plików, zarównopierwszego jak i drugiego etapu, zmiany w Rejestrze orazwykorzystywane adresy URL.