субота, 30. септембар 2017.

Hakerski napad na CCleaner




2,27 MILIONA KORISNIKA ZARAŽENO NAKON ŠTO SU PREUZELI, KAKO SU MISLILI, LEGITIMNU APLIKACIJU ( samo na 32-bitnim verzijama Windowsa)



Hakeri su uspeli ući na službene kanale besplatnog softvera za optimizaciju kompjutera CCleaner, i ubaciti zlonamerni kod backdoor ( softverski tajni ulaz za prikupljanje korisničkih podataka ). Reč je, konkretno, o  aplikaciji 5.33.6162 i CCleaner Cloud verzijui 1.07.3191. Napad je izvršen  u trenutku dok su Piriform programeri razvijali i pripremali novu inačicu programa. ( Reč je o palikacijama koje su preuzete sa sajta vendora Piriform.)   Malver je slao kriptovane informacije o zaraženom kompjuteru  na server hakera u SAD – ime računara, IP adrese, instalirane softvere, liste aktivnih programa,  tekuće procese, liste svih mrežnih uređaja. Prikupljeni podaci su mogli biti odaslati na neke druge servere nepovezane s Piriformom, negde van SAD-a.
Takođe, navodi se da je u pitanju dvofazni backdoor koji je sposoban da na zaraženom sistemu pokrene kod koji primi sa udaljene IP adrese.

Zaražene verzije aplikacije su se na sajtu i serverima proizvođača nalazile skoro mesec dana; CCleaner od 15. avgusta do 11. septembra, a CCleaner Cloud od 24. avgusta do 15. septembra (12. septembra proizvođač je objavio bezbednu 5.34 verziju CCleaner aplikacije, a 15. septembra bezbednu verziju CCleaner Clouda).

Ovo hakiranje pokazuje da čak i ažuriranja softvera iz pouzdanih robnih marki mogu biti nesigurni ili čak opasni. Takođe je ironično, jer je jedan od najboljih načina da naše kompjutere čuvamo od hakera, da redovno ažuriramo ovakve softvere.

U početku se činilo da je hakerski napad na CCleaner bio usmeren samo protiv CCleanera, i da nije uspeo učiniti mnogo štete. Kasnija saznanja otkrivaju sasvim drugu nameru hakera, to jest vrsti tzv. APT programa  (advanced persistent threat – naprednija trajna pretnja),  koji je specifično ciljan na velike tehnološke i telekomunikacijske kompanije. Iako se distribucija štetnog koda većim delom vršila preko verzije CCleanera za privatne korisnike, dospela je i na deo kompjutera korisnika koji rade u tech kompanijama, najverovatnije preko CCleaner Clouda. Prema dostupnim podacima malware je ciljao kompjutere : Googlea, Microsofta, Ciscoa, Intela, Samsunga, Sonya, HTC-a, Linksysa, D-Linka, Akamaija i VMwarea.
Ovu informaciju dala je  grupa stručnjaka za cybersecurity, koja radi u firmi Cisco Talos . Talos je  zapravo  13. septembra otkrio malver i alarmirao na malicioznu aktivnost. Na popisu je  bila i istraživačka  firma Cisco.



Izgleda da je prvi val zlonamernih programa bio samo početak. Namera je bila da se otvore “tajna stražnja vrata” na svim tim kompjuterima, pogotovo  kompjuterima većih tehnoloških firmi kako bi se u drugom valu instalirali novi zlonamerni programi. Ovaj zaključak donela je i firma Cybersecurity Avast, koja je kupila Piriform koji radi CCleaner. Prema Avastovoj analizi postojao je i drugi val. Sigurno se zna da je 20 kompjutera u osam različitih kompnija pogođeno u drugom valu. Šta više, ovi podaci su samo uzorak, jer Avast ima samo mali deo podataka sa istraživanja koje je u tok. Procenjuje se da je ukupan broj pogođenih kompjutera erojatno mnogo veći.Iako Avast nije izašao sa nazivima kompanija koje su zahvaćene napadom, navodno zbog sigurnosnih razloga, objavili su zemlje u kojima se kompanije nalaze. Među njima su Japan, Tajvan, UK, Nemačka i SAD.

Istraživači iz Cisco Talosa, analizirali su zaraženi CCleaner. Uspeli su doći do digitalne verzije napadačevih servera, koju im je dostavio nepoznati, ali kredibilni izvor. Analizom tog “servera”, došli su do podataka o tome koje su kompanije bile napadnute. Među njima su tech kompanije poput Samsunga, HTC-a i Sonyja, no i telekomi poput O2. Problematičnije je što su napadnute i sigurnosne kompanije poput samog Cisca.

Napad je izvršen preko ključnih dobavljača internet infrastrukture ”, rekao je Tod Beardsley, stručnjak za forenziku cybersecuritya u Rapid7, koji nije bio uključen u ovo istraživanje. Dakle, popis ciljeva uključuje, rekao je on, i “sve operacijskie sisteme i rutere za koje se neko brine”. Hakeri su takođe koristili DGA (algoritam za generisanje domena); kad god bi došlo do pada servera hakera, DGA je kreirao nove domene za prijem i slanje ukradenih podataka. Korišćenje DGA ukazuje na sofisticirani pristup sajber kriminalaca.

Iz kompanije Piriform su potvrdili da je došlo da kompromitovanja gore pomenutih verzija aplikacije, ali i da su sporni serveri ugašeni, dok se ostali potencijalno problematični serveri nalaze van domašaja napadača. Neki stručnjaci smatraju da kompanija umanjuje ozbiljnost problema i da napadači mogu da iskoriste backdoor za druge svrhe, recimo za neke naredne ciljane napade na specifične korisnike.


RESTORE !!! 

Cisco Talos istraživači navode da je AV detekcija ove pretnje na niskom nivou tako da ukoliko su korisnici preuzeli i instalirali jednu od 2 zaražene verzije (ili ih ažurirali), velika je šansa da  njihov kompjuter nije samo zaražen, odnosno da ima backdoo, već je. moguće bio pod udarom drugog vala. u tom slučaju nije dovoljno samo uklanjanje programa i reinstalacija nove verzije za rešavanje malwarea. Oni savetuju korisnicima da urade restore kompromitovanih sistema na neki datum pre 15. avgusta ili da urade reinstalaciju sistema. 

Ko stoji iza ovih napada?

Avast ne isključuje da se potencijalno radilo i o nekom napadu u organizaciji ili po nalogu neke države. Ne isključuju ni mogućnost da se radilo o industrijskog špijunaži ogromnih razmera. No, Avast nije bio spreman na špekulisanje, pa su samo na kraju izjavili da sarađuju s nadležnim službama.

Costin Raiu, direktor Global Researcha i Kaspersky lab, potvrdio je Motherboardu da su uspeli povezati kineske hakere koji su u prošlosti hakirali Google, s ovim štetnim verzijama CCleanera. Radi se o hakersoj grupi APT17, poznatijoj pod nazivom DeputyDog, koja postoji već preko deset godina. Isto je potvrdio Jay Rosenberg iz kompanije Intezer na svom blogu. Analizom koda ustanovio je da se radi o gotovo jednakom pristupu kojeg koristi APT17.

U operaciji Aurora 2009. godine, osim Googlea upali su u još 30 kompanija. Uspeli su upasti i u državne institucije, nevladine udruge te advokatska  društva. Pomalo zabrinjavajuće, uspeli su upasti i u neke kompanije koje proizvode oružje, informacijsku tehnologiju i one koje se bave rudarstvom. Problematično je što se CCleaner Cloud uglavnom koristi u biznis svetu, zbog čega je ovaj napad potencijalno veoma štetan.

Hakreski napad u toku! 

U toku je novi globalni hakerski napad! Na udaru su opet velike firme i korporacije, čak i sistem za nadzor radijacije u Černobilu. Veći broj ukrajinskih državnih institucija i privatnih firmi pre dva danase našao se pod udarom cyber napada, a slične napade proživljavaju i firme u Rusiji, Britaniji, Danskoj, Španiji, Švedskoj, Indiji i Norveškoj. Moguće da se radi o globalnom napadu hakera koji planiraju zaraditi ucenjivanjem.




Нема коментара:

Постави коментар