Tajemniczy incydent z CCleanerem, Avastem i nieznanymi ofiarami w tle

dodał 18 września 2017 o 21:04 w kategorii Złośniki  z tagami:
Tajemniczy incydent z CCleanerem, Avastem i nieznanymi ofiarami w tle

Bardzo popularny program CCleaner przez prawie miesiąc infekował komputery milionów swoich użytkowników. Mimo wnikliwego śledztwa do tej pory nie ustalono, kto faktycznie był celem perfekcyjnych włamywaczy.

Infekcja plików CCleanera to jeden z największych i najbardziej tajemniczych z incydentów komputerowych w historii. Zarówno nieznany przebieg incydentu, czas jego trwania jak i nieustalony do tej pory cel ataku zostawiają bardzo wiele pytań bez odpowiedzi.

Przypadkowe odkrycie

Na ślady incydentu trafili badacze z zespołu Talos firmy Cisco. W trakcie testowania nowej technologii wykrywania eksploitów zauważyli, że ich narzędzie identyfikuje nieznany wcześniej atak. Ustalili, że nośnikiem zagrożenia jest bardzo popularny program CCleaner w wersji 5.33. Program był pobrany z oficjalnego serwera producenta i na dokładkę podpisany prawidłowym certyfikatem – to wszystko wskazywało na spory problem leżący po stronie autorów oprogramowania. Niestety dalsza analiza potwierdziła najgorsze podejrzenia – program został zainfekowany złośliwym oprogramowaniem.

Rozpoznanie i…?

Badacze z Talosa bardzo dokładnie opisali funkcje złośliwego kodu – jednak nie wiadomo, jaki był jego faktyczny cel. Aspekty techniczne procesu instalacji możecie przeczytać w artykule Talosa, my chcemy skupić się jedynie na stronie funkcjonalnej. Złośliwy kod sprawdza, czy został uruchomiony z prawami administracyjnymi – jeśli ich brakuje, to kończy działanie. Jeśli ma odpowiednie uprawnienia, zbiera informacje o komputerze takie jak:

  • Identyfikator instalacji
  • Wersja systemu operacyjnego
  • Nazwa komputera
  • Adres IP
  • Zainstalowane aplikacje
  • Uruchomione procesy

i wysyła je na swój serwer C&C pod adresem 216.126.225.148 (od paru dni wyłączony). Zapisuje także w rejestrze parametr, który powoduje, że przez następne dwa dni nie będzie infekować tego samego komputera. Tu zaczyna się prawdziwa zagadka.

Talos wspomina, że po wysłaniu danych do serwera złośliwy kod dostaje w odpowiedzi kolejne polecenia – jednak nie wspomina ani słowem o ich zawartości i więcej już nie porusza tego tematu. Pozwolimy sobie zatem pospekulować. Skoro złośliwy kod jedynie przeprowadza identyfikację zainfekowanego komputera i wysyła zebrane informacje na serwer przestępców, by stamtąd otrzymać dalsze polecenia, nasze doświadczenie podpowiada, że różne komputery mogą otrzymać różne polecenia. Nic nie stoi na przeszkodzie, by przestępcy ignorowali większość zainfekowanych komputerów a specjalne instrukcje wysyłali tylko tym, na których działa konkretny proces, program, lub które legitymują się konkretnym adresem IP. Niestety albo Talos nie wie, co wysyłali przestępcy, albo świadomie nie rozwija tego tematu.

Od kiedy do kiedy

Daty w tym incydencie również są dość ciekawe. Talos informuje, że zainfekowana wersja dostępna była od 15 sierpnia, a nowa, wyczyszczona wersja programu pojawiła się 12 września. Te daty powierdza Pirifom, producent CCleanera. Tu jednak zaczyna się zagadka. Otóż Piriform informuje, że aktualizacja z 12 września do wersji 5.34 była zwyczajną, zaplanowaną operacją (regularly scheduled update). Dodaje także, że Avast, który kupił Piriforma 19 lipca, odkrył infekcję 12 września. Z kolei Talos odkrył ją 13 września. Wygląda zatem na to, że infekcję trwającą od 15 sierpnia nagle, w odstępie jednego dnia, zidentyfikowały dwie niezależne firmy, a dodatkowo data odkrycia problemu zbiegła się z zupełnie zwyczajnie zaplanowaną aktualizacją. Coś tu wygląda podejrzanie. O ile odkrycie zagrożenia mogło mieć związek np. ze zmianą w metodzie ataku przestępców, o tyle w zbieg okoliczności z aktualizacją trudno uwierzyć.

Ile ofiar

Talos cytuje statystyki Piriforma mówiące o 2 miliardach pobrań i 5 milionach instalacji tygodniowo. Mniej marketingowe wartości znajdziemy w komunikacie Avasta o zakupie Piriforma, gdzie mowa o 130 milionach użytkowników. Talos nie określa obserwowanej skali infekcji (nawet rysunek, z którego można by ją wywnioskować, ma obciętą oś skali), jednak komunikat Piriforma mówi o zainfekowanych 2,27 miliona użytkowników. Skala robi wrażenie.

Fatalna reakcja Avasta

Avast, jako właściciel Piriforma (co prawda od lipca, ale obejmuje to już okres incydentu) w swoich komunikatach w sprawie incydentu się niestety nie popisał. Dyrektor techniczny Ondrej Vlcek w wypowiedzi dla serwisu BleepingComputer powiedział, że wystarczy usunięcie złośliwego pliku binarnego CCleanera by usunąć zagrożenie oraz że użytkownicy są bezpieczni ponieważ firma zdążyła zapobiec dalszemu rozwojowi incydentu. Albo pan Vlcek wie dokładnie co zdarzyło się na każdym z 2,27 miliona zainfekowanych komputerów, albo niestety uprawia propagandę zamiast rzetelnej polityki informacyjnej.

Sępy krążą

Dzisiaj wieczorem otrzymaliśmy komunikat prasowy jednej z firm antywirusowych, których nazwy z litości nie wymienimy. Zrzut ekranu z zaznaczonymi kuriozalnymi fragmentami poniżej.

Po pierwsze nie było żadnego wirusa – a przynajmniej my informacji o nim nie znaleźliśmy. Po drugie zainfekowany program nie był sprzedawany – zainfekowana była przede wszystkim wersja darmowa. Po trzecie przypadki analogicznych incydentów ktoś zapomniał przetłumaczyć z angielskiego (pewnie chodzi o incydenty z Transmission oraz Linux Mint) a po czwarte żaden program antywirusowy nie wykrywał opisywanego zagrożenia do dzisiejszego poranka (w tym także ten reklamowany powyższym „artykułem”).

Jak sprawdzić czy komputer był zainfekowany

Niestety Talos nie opisał żadnego prostego mechanizmu identyfikacji czy komputer był zarażony złośliwym oprogramowaniem. Pewną wskazówką może być obecność w rejestrze kluczy

Nazwa Agomo to produkt, który Piriform przejął kilka lat temu, ale jeśli instalacja CCleanera była tylko na jednym komputerze (Agomo to wersja chmurowa) to raczej tych kluczy na komputerze nie powinno być – tworzył je dopiero zainfekowany instalator. Na szczęście w nieszczęściu darmowa wersja CCleanera nie aktualizowała się samodzielnie – jest zatem szansa, że macie wersję starszą lub nowszą niż ta ze złośliwym dodatkiem. W razie wątpliwości jedyne co możemy polecać to pełna reinstalacja systemu operacyjnego lub przynajmniej przywrócenie do punktu sprzed 15 sierpnia 2017.

Dwa złośliwe pliki CCleanera znajdziecie tu i tu. Jakim cudem przez prawie miesiąc pozostały niewykryte – czekamy na wyjaśnienie tego fenomenu. Włamywaczom, którzy przejęli kontrolę nad procesem tworzenia aplikacji w Piriformie, trzeba pogratulować osiągnięcia. Tyle nabroić i przez prawie miesiąc ukrywać efekty to spore osiągnięcie.