September 20th, 2017

IT-среда. Кажется, кто-то, что-то недоговаривает.

Прошлая неделя разверглась новостью о том, что известный чистильщик CCleaner заразили малварью прямо на сервере. Конечно, это был холодный душ для Avast, который является владельцем CCleaner. Авасту не привыкать капитально обсираться, случай с удалением драйвера стека TCP\IP убивавшего все интернет соединение на компе - из памяти не забывается.



Уязвимой оказалась 32-битная версия CCleaner 5.33.6162, выпущенная 15 августа, и облачная версия приложения CCleaner Cloud 1.07.3191, выпущенная 24 августа.

Как сообщается, приложения после обновления до взломанной версии начинали передавать пользовательские данные (имя компьютера, его IP-адрес, список установленных программ и сетевых адаптеров) на сервер в США, а также могло использоваться для получения удаленного доступа к устройствам. Сервер, на который передавались данные, был отключен правоохранительными органами 15 сентября. К этому же времени Piriform выпустила обновления с исправлениями для обеих скомпрометированных приложений, загрузить их можно на официальном сайте разработчика.

Сколько конкретно пользователей оказались жертвами злоумышленников в Piriform не уточняют, приводя лишь общую оценку. По словам компании, взломанные версии CCleaner могли установить до 3% всех пользователей (130 млн человек), то есть, почти 2,3 миллиона человек.

Но, я не могу никак понять одного. Американская Cisco Talos, которая очень долго молчала насчет разных взломов, внезапно активизировалась против бренда из Европы. И это вносит такие подозрения не сколько самому Авасту и Ко, сколько команде Cisco. Через сетевое серверное оборудование Cisco, в частности файрволы, прошло столько экземпляров дряни, а Cisco среагировало только через месяц. Обычно на латки в таких случаях уходит один-два дня, а тут пришлось подключать правоохранительные органы. (А потом эти самые органы сняли дампы украденных данных, и здравствуй АНБ и прочие не совсем честные организации.)

Итого:
Самые безопасные поднадзорные сети и безупречная система файрволов Cisco на серверах Avast была с брешью и в итоге под доменами Piriform раскидывался сборщик данных. Идеальное решение - избавится не только от Аваста с Ccleaner`om, но и сдать на вторичный рынок всю технику Cisco (подальше, к д-линкам). О взломе заговорил не OurMine, не другие группы ИБ, а подразделение американской компании, которая в вопросах ИБ ранее мощно не светилась.

PS Товарищи, я отлично знаю, что сегодня горсовет принял новые правила пользования городским электротранспортом и новые правила метрополитена. Я знаю, что с сегодняшнего дня в Харькове легализовали электронную оплату в наземном электротранспорте. Я с радостью обсудил эту тему, однако у меня внезапно рухнуло три интернет-канала из трех (кто-то ударил оптику), и я расскажу об этом попозже.

АПД Только заговорили о том, что Циско тоже не в шоколаде, сразу подняли хайп, что виноваты... китайцы. Цитата (http://www.securitylab.ru/news/488617.php)

Хакеры, внедрившие бэкдор в популярную утилиту для очистки и оптимизации жесткого диска CCleaner, также пытались атаковать крупнейшие технологические компании, включая Cisco, Singtel, HTC, Samsung, Sony, Gauselmann, Intel, VMWare, O2, Vodafone, Linksys, Epson, MSI, Akamai, DLink, Oracle (Dyn), Microsoft и Google (Gmail).
Как полагают эксперты, к атакам причастна китайская кибергруппировка Axiom, также известная как APT17, DeputyDog, Tailgater Team, Hidden Lynx, Voho, Group 72 или AuroraPanda. Первым свидетельства связи между вредоносным кодом, встроенным в CCleaner, и группировкой Axiom заметил специалист «Лаборатории Касперского» Костин Раю (Costin Raiu), который указал на сходство бэкдора в утилите с трояном Missl, используемым в атаках Axiom.
Чуть позже исследователи из команды Cisco Talos подтвердили предположение Раю, отметив при этом, что не уверены в причастности Axiom к компрометации CCleaner. Экспертам удалось получить копии файлов C&C-сервера, включая его базу данных, на который инфицированные версии утилиты отправляли собранную информацию (имя компьютера, список установленного ПО, перечень активных процессов, MAC-адреса и идентификаторы). Как отмечалось ранее, данный вредонос способен загружать и исполнять дополнительную полезную нагрузку, но, по словам команды Cisco Talos, эта функция никогда не использовалась.

С другой стороны, этот хайп подняли снова не Циско, а... Лаборатория Касперского. Еще один феерический провал американского ИБ.

promo akirich_pcroom september 1, 2013 01:18
Buy for 10 tokens
Размещайте рекламу в промо по уникально низким ставкам! Правила размещения промо в моем ЖЖ. Даже несмотря на непостоянство показов в данном журнале действуют ограничения по тематике промоутируемых материалов. Рекламируемый материал должен содержать материалы подходящие для группы 12+.…