Alcuni colossi tecnologici, fra cui anche Intel, Sony, Samsung e Htc, sarebbero tra i bersagli dell’operazione hacker che ha installato una backdoor sull’applicazione di Piriform (Avast). Invece di ripulire i Pc dai vecchi dati, CCleaner è stata usata per spiare.
Invece di “ripulire” poteva “infettare”, e ora si scopre che potrebbe aver colpito colossi del calibro di Google, Microsoft, Intel, Cisco, Samsung e Sony. Ccleaner, l’applicazione utile per liberare spazio sul Pc cancellando file, dati, cookie e sofware non desiderati, è al centro della sgradita scoperta di un attacco che ha violato i server di Piriform (società proprietaria dell’applicazione, a sua volta controllata da Avast) per diffondere un malware capace di rastrellare informazioni e inviarle ai server di comando e controllo dei cybercriminali. Una backdoor, insomma, nascosta in un frammento di codice malevolo con cui è stata modificata la versione 5.33 di Ccleaner per desktop. Durante la procedura di installazione su sistemi operativi a 32-bit, a insaputa dell’utente si installava anche un payload malevolo, noto come Floxif. Si tratta di un malware capace sia di raccogliere informazioni di vario tipo (nome del Pc, elenco dei programmi installati, indirizzo Mac delle prime tre interfacce di rete, eccetera) e trasmetterle a server C&C, sia di scaricare file binari eseguibili, portatori di altre infezioni.
Alla luce della scoperta, opera dei ricercatori di sicurezza di Cisco Talos, Avast aveva fatto sapere che “il prodotto è stato modificato illegalmente durante il processo di creazione, al fine di includere un componente backdoor”. Il sabotaggio hacker era iniziato già nei primi giorni di luglio, prima che Avast completasse l’acquisizione di Piriform, natualmente senza essere a conoscenza del fatto. Una delle ipotesi possibile è che sia stato un insider dell’azienda a compiere il misfatto, dato che la versione “infetta” del programma è poi stata distribuita a metà agosto direttamente dai server di Piriform. Sia come sia, una volta scoperchiata la compromissione, nel giro di 72 ore Avast ha provveduto a rilasciare versioni aggiornate e corrette di CCleaner.
La notizia nuova è che, a differenza di quanto era sembrato inzialmente, la backdoor potrebbe aver fatto danni consistenti. Per quanto gli utenti potenzialmente esposti siano quasi 2,3 milioni, a detta di Avast e di Cisco Talos non ci sono evidenze che il malware abbia effettivamente sottratto dati o scaricato altre infezioni. O meglio non c’erano evidenze, perché i ricercatori di Talos ora sostengono che un secondo frammento di codice malware contenuto in CCleaner potrebbe essere stato installato nei computer di alcune grandi aziende del mondo tecnologico, fra cui Microsoft, Google, Samsung, Sony, Intel, D-Link, Linksys, Htc, Akamai e la stessa Cisco. Prese di mira, probabilmente, per tentare di rubare informazioni importanti e, magari, coperte da proprietà intellettuale.
“Analizzando il codice di delivery giunto dal server C2”, scrivono gli esperti di Talos, “balza all’occhio immediatamente una lista di organizzazioni, fra cui è inclusa Cisco, che sono state prese di mira in modo specifico con un loader”. Il codice analizzato copre un periodo di appena quattro giorni del mese di settembre, ma è sufficiente a svelare che almeno venti Pc hanno scaricato il payload secondario.
Anche Avast è stata costretta ad ammettere che, da indagini più approfondite di quelle iniziali, è emerso che almeno 18 computer di otto diverse aziende sono stati infettati da questo secondo malware. Per lo più i le aziende chiamate in causa hanno evitato di commentare, ma c’è chi, come Akamai, ha ammesso che “un ristretto numero dei nostri sistemi client ha scaricato il software malevolo”, sebbene “non ci siano al momento evidenze del payload secondario”. E c’è di più: a detta di Avast, considerata nel suo complesso, l’operazione CCleaner sembra aver consentito di infettare un numero considerevole di Pc, almeno nell’ordine delle migliaia.