A settembre 2017, l’editore di CCleaner, Piriform, ha annunciato che alcune versioni del suo popolare software di utilità erano danneggiate.
Gli hacker sono riusciti a inserire una backdoor nell’eseguibile prima che venisse rilasciato dai server di aggiornamento. Un totale di 2,27 milioni di utenti sono stati infettati da questo malware, che mirava ad analizzare il contesto del computer e, se necessario, a installare un “downloader”, vale a dire un malware il cui scopo è installare altro malware. Il downloader è stato finalmente installato su solo 40 macchine , in aziende high-tech. Prova che si trattava di un’operazione molto mirata.
Da allora, i ricercatori di sicurezza di Avast – Piriform che ha acquistato nel 2017 – hanno condotto la loro indagine e scoperto come gli hacker avevano fatto. È ormai noto che quest’ultimo ha raggiunto un punto d’appoggio nella rete interna di Piriform l’11 marzo 2017, alle cinque del mattino, collegandosi alla workstation di uno sviluppatore tramite il software TeamViewer. Molto utilizzato nel settore high-tech, consente il controllo remoto di una macchina per scopi di manutenzione. In questo caso, gli hacker hanno ovviamente ottenuto i codici di accesso di TeamViewer in altro modo, perché avevano bisogno solo di un test per accedere.
Hanno preso un appiglio in un “server di build”
Questa workstation è stata utilizzata come trampolino di lancio per infettare altri tre computer nella rete. Gli hacker hanno optato per questo per uno strumento di hacking che era già apparso nel radar di Kaspersky ad agosto 2017, ovvero ShadowPad. È una piattaforma di spionaggio modulare che integra funzionalità come la raccolta di sequenze di tasti o il furto di password. Gli hacker hanno avuto particolare successo nell’hacking di un “build server” utilizzato per creare eseguibili CCleaner. I registri di ShadowPad mostrano anche che i criminali sono riusciti a raccogliere identificativi per Visual Studio, la piattaforma di sviluppo di Microsoft. Avevano tutto ciò di cui avevano bisogno per iniettare il malware in CCleaner. Stranamente, hanno aspettato ancora cinque mesi prima di agire.
Avast non sa se il downloader che ha infettato le 40 macchine ha effettivamente scaricato un terzo malware (dopo la backdoor di CCleaner e il ownloader). Tuttavia, l’editore ritiene che, in tal caso, fosse probabilmente ShadowPad. Altri due esempi di questo malware sono stati trovati in Corea del Sud e in Russia, dove la sua presenza risale al 2014. Secondo alcuni elementi trovati nel codice dei diversi malware utilizzati, l’organizzazione dietro a tutta questa azione sarebbe Axiom aka APT 17 , un gruppo di pirati di origine cinese la cui specialità è lo spionaggio industriale.
