Популярне програмне забезпечення CCleaner, яке слугує для очищення і оптимізації ОС Windows піддалося хакерській атаці, яку в компанії Talos, що спеціалізуються на інформаційній безпеці назвали «дуже складною» і порівняли з червневою кібератакою вірусу-здирника NotPetya, коли для поширення використовували бухгалтерське ПЗ M.E.Doc.
Складна вірусна атака
Співробітники Avast зафіксували підозрілу активність програми 12 вересня. 32-бітна версія CCleaner 5.33.6162 і CCleaner Cloud 1.07.3191 стали передавати призначені для користувача дані (ім'я комп'ютера, IP-адреса, список встановлених програм і запущених додатків, список мережевих адаптерів) на віддалений сервер в США, а також могли використовуватися для одержання віддаленого доступу до пристроїв.
Скільки конкретно користувачів виявилися жертвами зловмисників в Piriform не уточнюють, приводячи лише загальну оцінку. За словами компанії, зламані версії CCleaner могли встановити до 3% всіх користувачів (130 млн чоловік), тобто, майже 2,3 мільйона осіб.
Заражена версія була підписана, дійсним цифровим сертифікатом, який був випущений компанією-розробником "Symantec Piriform Ltd". Тому користувачі під час завантаження оновлень були впевненні у надійності джерела. Виявлення цієї загрози антивірусними продуктами залишається дуже низьким.
Подробиці зараження
У липні виробник антивірусних систем Avast купив компанію Piriform, відому інструментом для чищення і оптимізації системи CCleaner. За іронією долі, в серпні розробники випустили оновлення помічника для Windows, в якому виявився шкідливий код.
Експерти з інформаційної безпеки з Cisco Talos порівнюють цей випадок з атакою вірусу NotPetya (він же Petya.A), який поширювався через популярну в Україні програму M.E.Doc. У цій ситуації користувачі навіть не підозрюють, що з програмою щось не так, оскільки комп'ютер автоматично вважає ПО безпечним, якщо бачить дійсні цифрові сертифікати.
Цього разу вірус не встиг заподіяти серйозної шкоди, хоча фахівці Talos повідомляють, що модифікований CCleaner намагався отримати доступ по кількох незареєстрованих посиланнях. Ймовірно, таким чином зловмисники планували завантажувати шкідливі програми на заражені системи.
Проблему усунули
12 вересня Piriform випустила безпечну версію CCleaner для Windows. Після зв'язку з правоохоронними органами 15 вересня американський сервер з даними користувачів був відключений, в цей же день оновився і CCleaner Cloud.
У Кіберполіції України зазначають, що нашу країну атака оминула, але зафіксовано близько сотні IP-адрес, які здійснюють підключення до серверу зловмисників.
Щоб не допустити розповсюдження вірусу, Кіберполіція у приватному порядку надішле Інтернет-провайдерам офіційні листи з позначенням IP-адрес інфікованих комп'ютерів. Після того користувачі цих комп'ютерів зможуть самостійно видалити шкідливу програму.
Рекомендації
"Наразі фахівці з кіберполіції тимчасово не рекомендують використовувати програмне забезпечення "CCleaner" українським користувачам, а радять шукати аналогічні продукти. Крім того, спеціалісти радять переконатися, що встановлене на комп'ютерних системах антивірусне програмне забезпечення функціонує належним чином та використовує актуальні бази вірусних сигнатур", - йдеться у офіційному повідомленні.
Нагадаємо, 27 червня Україну вразила масштабна хакерська атака. У Хмельницькому
про вірус Petya.A повідомили банки, державні та комерційні підприємства.
1 липня Служба безпеки України заявила про те, що їй вдалося встановити причетність спецслужб РФ до атаки вірусу-вимагача Petya.A. У "Держдумі РФ" таку заяву назвали "фейком". Головною метою масштабної кібератаки вірусом
Petya.A СБУ називає дестабілізацію ситуації в Україні.
Тим часом поліція вилучила сервери компанії M.E.Doc через розслідування кібератаки.
Джерела:
Piriform,
ТСН.
