W sierpniu cyberprzestępcom udało się złamać zabezpieczenia popularnego programu CCleaner i wykorzystać go do próby zainfekowania milionów komputerów na całym świecie. Do rozprowadzenia szkodliwego oprogramowania posłużył instalator aplikacji.
Według badaczy z firmy Cisco Talos, złośliwe oprogramowanie, choć zaraziło miliony komputerów, było wymierzone we wcześniej wybrane firmy technologiczne. Atak był również bardziej złożony niż początkowo przypuszczano.
Pierwszym jego etapem, gdzie posłużono się oficjalnym instalatorem CCleanera, było odszukanie komputerów logujących się w konkretnych sieciach.
Ze znalezionych na serwerach przestępców śladów wynika, że interesowały ich wielkie firmy, m.in. Google, Microsoft, Samsung, Vodafone, HTC, Oracle, Asus, Sony czy Intel.
Dodatkowego szkodnika, który rozpoczynał drugą fazę ataku, pobierano jedynie na niewielkiej liczbie wybranych komputerów. Celem było bowiem przejęcie kontroli nad konkretnymi maszynami.
Według najnowszych doniesień ekspertów z Avast, dodatkowym kodem zainfekowano 40 z 2,27 mln (0,0018 proc.) komputerów zarażonych w pierwszej fazie ataku. Wszystkie to maszyny logujące się w sieciach gigantów branży IT.
13 z nich należy do tajwańskiego dostawcy internetu Chunghwa Telecom, 10 urządzeń to maszyny japońskiego konsorcjum NEC, a 5 logowało się w sieciach Samsunga.
Zarażonych złośliwym oprogramowaniem zostało jeszcze dziewięć innych firm, a pełna ich lista została opublikowana przez Avast:
Komputery zainfekowane w drugiej fazie ataku fot. Avast
Na komputery logujące się w sieciach wewnętrznych tych gigantów przestępcy pobrali dodatkowe oprogramowanie, które następnie było sprytnie ukrywane w systemie.
Celem było uzyskanie dostępu do konkretnych komputerów mogących zawierać cenne dane. Próba wykradzenia tajnych informacji sugeruje więc, że mamy do czynienia ze szpiegostwem gospodarczym.
Eksperci z Avast odnaleźli serwer cyberprzestępców z kopią zapasową niemal pełnej bazy zainfekowanych komputerów, z której wcześniej udało się uzyskać jedynie niewielką część danych.
Tym razem brakuje jedynie informacji z 40-godzinnego okresu. Powyższa lista najpewniej przedstawia więc prawie wszystkie zarażone maszyny.
Eksperci po analizie cyfrowych śladów znalezionych na serwerach twierdzą także, że za atakiem prawdopodobnie stoi chińska grupa cyberprzestępcza działająca pod nazwą Axiom (znana także m.in. jako Group 72). Na tę samą organizację już wcześniej wskazywali eksperci z Cisco Talos.
