
Уязвимой оказалась 32-битная версия CCleaner 5.33.6162, выпущенная 15 августа, и облачная версия приложения CCleaner Cloud 1.07.3191, выпущенная 24 августа.
Как сообщается, приложения после обновления до взломанной версии начинали передавать пользовательские данные (имя компьютера, его IP-адрес, список установленных программ и сетевых адаптеров) на сервер в США, а также могло использоваться для получения удаленного доступа к устройствам. Сервер, на который передавались данные, был отключен правоохранительными органами 15 сентября. К этому же времени Piriform выпустила обновления с исправлениями для обеих скомпрометированных приложений, загрузить их можно на официальном сайте разработчика.
Сколько конкретно пользователей оказались жертвами злоумышленников в Piriform не уточняют, приводя лишь общую оценку. По словам компании, взломанные версии CCleaner могли установить до 3% всех пользователей (130 млн человек), то есть, почти 2,3 миллиона человек.
Но, я не могу никак понять одного. Американская Cisco Talos, которая очень долго молчала насчет разных взломов, внезапно активизировалась против бренда из Европы. И это вносит такие подозрения не сколько самому Авасту и Ко, сколько команде Cisco. Через сетевое серверное оборудование Cisco, в частности файрволы, прошло столько экземпляров дряни, а Cisco среагировало только через месяц. Обычно на латки в таких случаях уходит один-два дня, а тут пришлось подключать правоохранительные органы. (А потом эти самые органы сняли дампы украденных данных, и здравствуй АНБ и прочие не совсем честные организации.)
Итого:
Самые безопасные поднадзорные сети и безупречная система файрволов Cisco на серверах Avast была с брешью и в итоге под доменами Piriform раскидывался сборщик данных. Идеальное решение - избавится не только от Аваста с Ccleaner`om, но и сдать на вторичный рынок всю технику Cisco (подальше, к д-линкам). О взломе заговорил не OurMine, не другие группы ИБ, а подразделение американской компании, которая в вопросах ИБ ранее мощно не светилась.
PS Товарищи, я отлично знаю, что сегодня горсовет принял новые правила пользования городским электротранспортом и новые правила метрополитена. Я знаю, что с сегодняшнего дня в Харькове легализовали электронную оплату в наземном электротранспорте. Я с радостью обсудил эту тему, однако у меня внезапно рухнуло три интернет-канала из трех (кто-то ударил оптику), и я расскажу об этом попозже.
АПД Только заговорили о том, что Циско тоже не в шоколаде, сразу подняли хайп, что виноваты... китайцы. Цитата (http://www.securitylab.ru/news/488617.php)
Хакеры, внедрившие бэкдор в популярную утилиту для очистки и оптимизации жесткого диска CCleaner, также пытались атаковать крупнейшие технологические компании, включая Cisco, Singtel, HTC, Samsung, Sony, Gauselmann, Intel, VMWare, O2, Vodafone, Linksys, Epson, MSI, Akamai, DLink, Oracle (Dyn), Microsoft и Google (Gmail).
Как полагают эксперты, к атакам причастна китайская кибергруппировка Axiom, также известная как APT17, DeputyDog, Tailgater Team, Hidden Lynx, Voho, Group 72 или AuroraPanda. Первым свидетельства связи между вредоносным кодом, встроенным в CCleaner, и группировкой Axiom заметил специалист «Лаборатории Касперского» Костин Раю (Costin Raiu), который указал на сходство бэкдора в утилите с трояном Missl, используемым в атаках Axiom.
Чуть позже исследователи из команды Cisco Talos подтвердили предположение Раю, отметив при этом, что не уверены в причастности Axiom к компрометации CCleaner. Экспертам удалось получить копии файлов C&C-сервера, включая его базу данных, на который инфицированные версии утилиты отправляли собранную информацию (имя компьютера, список установленного ПО, перечень активных процессов, MAC-адреса и идентификаторы). Как отмечалось ранее, данный вредонос способен загружать и исполнять дополнительную полезную нагрузку, но, по словам команды Cisco Talos, эта функция никогда не использовалась.
С другой стороны, этот хайп подняли снова не Циско, а... Лаборатория Касперского. Еще один феерический провал американского ИБ.
Journal information