Атаката към CCleaner била част от много по-голяма кампания
По-рано тази седмица ви съобщихме за офанзива към потребителите на CCleaner , засегнала близо 700 000 души (уточнение, нанесено от притежателя на софтуера Avast в по-късно разследване).
Това, което отличава тази офанзива от елементарните хакерски нападения е, че незнайната към този момент страна е компрометирала продуктовата линия за доставка на софтуера на компанията. CCleaner и други софтуерни компании подписват цифрово своите артикули преди да ги доставят към своите консуматори. Въпросният ключ, с който това бива реализирано е неповторим и самият развой е задоволително комплициран, с цел да предотврати произшествия. В този смисъл е очевидно, че не става дума за инцидентни киберпрестъпници, а за умели хакери, като Cisco, които не престават следствието си, считат, че може да става дума за хакери, работещи за непозната страна . Те са съумели да се доберат до инфраструктурата за доставка на CCleaner и да подменят истинския инсталатор със собствен личен, който след това е бил подписан с истинския ключ на компанията. Това е и повода повече от месец, въпросният програмен продукт да не е събудил съмнението освен на потребителите и на стратегиите за отбрана, само че и на самата компания. Но нещата не завършват дотук.
Продължаващият разбор на Cisco показва ненадейно развиване: случаят с CCleaner е част от огромна акция, целяща корпоративен шпионаж и обгръща 20 огромни компании, измежду които Samsung, Sony, HTC, Intel, VMware, MSI, Lynksis, Microsoft, Vodafone , самите Cisco, Гугъл и други. От разбора над бекдор съставния елемент в софтуера на CCleaner станало ясно, че сървъра, командващ указания към зловредния файл, е допълнен от втори бекдор съставен елемент, който се задейства при посрещането на заложени условия в кода към жертвата. От Cisco загатват, че са извършени и други сполучливи офанзиви към компании, само че не желаят да посочват имената им. Те са ги уведомили навреме за това. Компанията предизвестява, че в случай че инцидентно сте конфигурирали 32-битовата версия на CCleaner (версия 5.33.6162, оповестена на 15.08 и останала незабелязана един месец) или тази на CCleaner Cloud, то просто деинсталирането ѝ не е успокоително. Поради сложността на бекдор съставния елемент, единственото решение е да върнете системата в предходно положение или да я изградите отначало .
Що се отнася до виновникът за офанзивите, Cisco са деликатни с посочването на съответна страна, само че въпреки всичко означават, че в офанзивата е употребен код, употребен от APT (Advanced Persistent Threat) формация, свързваща се с управляващите Пекин, както и един от командните сървъри, които също бил ситуиран в Китай.
Това, което отличава тази офанзива от елементарните хакерски нападения е, че незнайната към този момент страна е компрометирала продуктовата линия за доставка на софтуера на компанията. CCleaner и други софтуерни компании подписват цифрово своите артикули преди да ги доставят към своите консуматори. Въпросният ключ, с който това бива реализирано е неповторим и самият развой е задоволително комплициран, с цел да предотврати произшествия. В този смисъл е очевидно, че не става дума за инцидентни киберпрестъпници, а за умели хакери, като Cisco, които не престават следствието си, считат, че може да става дума за хакери, работещи за непозната страна . Те са съумели да се доберат до инфраструктурата за доставка на CCleaner и да подменят истинския инсталатор със собствен личен, който след това е бил подписан с истинския ключ на компанията. Това е и повода повече от месец, въпросният програмен продукт да не е събудил съмнението освен на потребителите и на стратегиите за отбрана, само че и на самата компания. Но нещата не завършват дотук.
Продължаващият разбор на Cisco показва ненадейно развиване: случаят с CCleaner е част от огромна акция, целяща корпоративен шпионаж и обгръща 20 огромни компании, измежду които Samsung, Sony, HTC, Intel, VMware, MSI, Lynksis, Microsoft, Vodafone , самите Cisco, Гугъл и други. От разбора над бекдор съставния елемент в софтуера на CCleaner станало ясно, че сървъра, командващ указания към зловредния файл, е допълнен от втори бекдор съставен елемент, който се задейства при посрещането на заложени условия в кода към жертвата. От Cisco загатват, че са извършени и други сполучливи офанзиви към компании, само че не желаят да посочват имената им. Те са ги уведомили навреме за това. Компанията предизвестява, че в случай че инцидентно сте конфигурирали 32-битовата версия на CCleaner (версия 5.33.6162, оповестена на 15.08 и останала незабелязана един месец) или тази на CCleaner Cloud, то просто деинсталирането ѝ не е успокоително. Поради сложността на бекдор съставния елемент, единственото решение е да върнете системата в предходно положение или да я изградите отначало .
Що се отнася до виновникът за офанзивите, Cisco са деликатни с посочването на съответна страна, само че въпреки всичко означават, че в офанзивата е употребен код, употребен от APT (Advanced Persistent Threat) формация, свързваща се с управляващите Пекин, както и един от командните сървъри, които също бил ситуиран в Китай.
Източник: kaldata.com
КОМЕНТАРИ