Timeline di attacco CCleaner: ecco come gli hacker hanno infettato 2,3 milioni di PC

Timeline di attacco CCleaner: ecco come gli hacker hanno infettato 2,3 milioni di PC

Timeline di attacco CCleaner: ecco come gli hacker hanno infettato 2,3 milioni di PC

L’anno scorso, il popolare software di pulizia del sistema CCleaner ha subito un massiccio attacco di malware della supply chain di tutti i tempi, in cui gli hacker hanno compromesso i server dell’azienda per più di un mese e sostituito la versione originale del software con quella malevola.

L’attacco malware ha infettato oltre 2,3 milioni di utenti che hanno scaricato o aggiornato la propria app CCleaner tra agosto e settembre dello scorso anno dal sito Web ufficiale con la versione backdoor del software.

Ora, si scopre che gli hacker sono riusciti a infiltrarsi nella rete della compagnia quasi cinque mesi prima di aver sostituito la build ufficiale CCleaner con la versione backdoor, rivelando il vicepresidente esecutivo e CTO Ondrej Vlcek alla conferenza sulla sicurezza RSA a San Francisco.

Timeline di 6 mesi di CCleaner Supply Chain Attack

Vlcek ha condiviso una breve cronologia dell’incidente dell’anno scorso che è diventato il peggior incubo per l’azienda, specificando come e quando sconosciuti pirati hanno violato Piriform, la società che ha creato CCleaner e che è stata acquisita da Avast a luglio 2017.

11 marzo 2017 ( 5 ora locale). Gli hacker hanno prima accesso a una workstation non presidiata di uno degli sviluppatori di CCleaner, che era collegato alla rete Piriform, utilizzando il software di supporto remoto TeamViewer.
l'hacking-news
La società ritiene che gli aggressori abbiano riutilizzato le credenziali dello sviluppatore ottenute da precedenti violazioni dei dati per accedere all’account TeamViewer e sono riusciti a installare malware utilizzando VBScript al terzo tentativo.

12 marzo 2017 (ora locale delle 4:00 ): utilizzando la prima macchina, gli aggressori sono penetrati nel secondo computer non sorvegliato collegato alla stessa rete e hanno aperto una backdoor tramite il protocollo RDP (Remote Desktop Service) di Windows.
hacking computer
Usando l’accesso RDP, gli aggressori hanno abbandonato un payload binario e malevolo, un malware di seconda fase (versione precedente) che è stato successivamente consegnato a 40 utenti di CCleaner, nel registro del computer di destinazione.

14 marzo 2017 – Gli hacker hanno infettato il primo computer con la versione precedente del malware di seconda fase.

4 aprile 2017 -Attackers ha compilato una versione personalizzata di ShadowPad, una famigerata backdoor che consente agli aggressori di scaricare ulteriori moduli dannosi o rubare dati, e questo payload ritiene che la compagnia sia stata la terza fase dell’attacco CCleaner.

12 aprile 2017 – Alcuni giorni dopo, gli hacker hanno installato il payload della terza fase su quattro computer nella rete Piriform (come libreria mscoree.dll) e un server di build (come libreria di runtime .NET).

Tra metà aprile e luglio – Durante questo periodo, gli aggressori hanno preparato la versione malevola di CCleaner e hanno cercato di infiltrarsi in altri computer nella rete interna installando un keylogger su sistemi già compromessi per rubare le credenziali e accedere con privilegi amministrativi tramite RDP .

18 luglio 2017 – La società di sicurezza Avast ha acquisito Piriform, la società di sviluppo software con sede nel Regno Unito dietro CCleaner con oltre 2 miliardi di download.

2 agosto 2017-Attackers ha sostituito la versione originale del software CCleaner dal suo sito Web ufficiale con la sua versione backdoor di CCleaner, che è stata distribuita a milioni di utenti.

13 settembre 2017 – I ricercatori di Cisco Talos hanno rilevato la versione malevola del software , che è stata distribuita attraverso il sito Web ufficiale dell’azienda per più di un mese, e ha immediatamente informato Avast.

La versione malevola di CCleaner disponeva di un payload del malware multistadio progettato per rubare dati dai computer infetti e inviarlo a un server di controllo e controllo controllato da un aggressore.

Sebbene Avast, con l’aiuto dell’FBI, sia stato in grado di arrestare il server di comando e controllo degli hacker entro tre giorni dalla notifica dell’avvenimento, il software CCleaner dannoso era già stato scaricato da 2,27 milioni di utenti.

Inoltre, è stato rilevato che gli hacker erano quindi in grado di installare un payload di seconda fase su 40 computer selezionati gestiti da importanti società tecnologiche internazionali, tra cui Google, Microsoft, Cisco, Intel, Samsung, Sony, HTC, Linksys, D-Link, Akamai e VMware.

Tuttavia, la compagnia non ha prove se il carico utile della terza fase con ShadowPad è stato distribuito a uno di questi obiettivi.

“Le nostre indagini hanno rivelato che ShadowPad era stato precedentemente utilizzato in Corea del Sud e in Russia, dove gli aggressori hanno intromesso un computer, osservando un trasferimento di denaro”. Avast ha detto.

“Il più vecchio eseguibile maligno usato nell’attacco russo è stato costruito nel 2014, il che significa che il gruppo dietro di esso avrebbe potuto spiare per anni”.

Basandosi sulla loro analisi del file eseguibile di ShadowPad dalla rete Piriform, Avast ritiene che gli aggressori malintenzionati dietro il malware siano attivi da molto tempo, spiando così profondamente le istituzioni e le organizzazioni.

Michele Minister

Ciao e benvenuto nel mio sito e voglio dirti Chi Sono, innanzitutto parto col dire che mi chiamo Marco Martini ma sono anche chiamato Michele Minister dato che Michele è il mio secondo nome e Minister è il nickname che ho da sempre utilizzato su tutti i giochi e quindi li ho messi insieme dato che non volevo utilizzare il classico Nome e Cognome per creare un sito. Ho soli 17 anni e svolgo parallelamente alla scuola la professione di Webmaster e Divulgatore Informatico, sono sempre stato timido ed insicuro ma con il diffondersi maggiormente delle nuove tecnologie e di Internet, mi sono avvicinato a questo nuovo mondo che ho sempre reputato il migliore.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

×
WhatsApp chat