Avast раскрывает подробности взлома CCleaner

Ниже приведен упрощенный график событий, основанный на недавнем заявлении Avast:

• 3 июля - появились доказательства взлома хакерами IT-инфраструктуры компании Piriform.
• 18 июля - Avast решает приобрести Piriform, разработчика CCleaner.
• 15 августа - Piriform, которая уже является дочерней компанией Avast, выпускает CCleaner 5.33. 32-битная версия (CCleaner 5.33.6162) включает троян Floxif.
• 20 и 21 августа - защитные механизмы MorphiSec обнаруживают первые случаи вредоносной активности (сбор пользовательских данных и передача на удаленный сервер). Однако, MorphiSec не уведомляет Avast об этом.
• 24 августа - Piriform выпускает CCleaner Cloud v1.07.3191, который также включает троян Floxif.
• 11 сентября - клиенты MorphiSec обмениваются сообщениями об обнаружении вредоносной активности в CCleaner с инженерами компании.
• 12 сентября - MorphiSec уведомляет Avast и Cisco о подозрительной активности CCleaner. Avast начинает собственное расследование, а также уведомляет правоохранительные органы США. Cisco также начинает собственное расследование.
• 14 сентября - Cisco сообщает Avast о результатах своего расследования.
• ? сентября - Cisco зарегистрировала все доменные имена, которые вредоносный код будет использовать для определения IP-адреса командного сервера.
• 15 сентября - в результате сотрудничества между Avast и правоохранительными органами командный сервер прекратил работу.
• 15 сентября - Avast выпускает обновленные версии CCleaner 5.34 и CCleaner Cloud 1.07.3214 без трояна Floxif.
• 18 сентября - инцидент CCleaner становится общеизвестным после открытой публикации отчетов Cisco и MorphiSec.

Количество пользователей зараженной программы сократилось с 2,27 миллионов до 730 тысяч

Главный технический директор AVAST, Ондрей Влчек еще 18 сентября сообщал, что согласно телеметрическим данным, обе скомпрометированные версии CCleaner работают на 2,27 миллионов компьютеров.

В обновленном заявлении, опубликованном сегодня, генеральный директор Avast Винс Стеклер и технический директор Ондрей Влчек утверждают, что число пользователей сократилось до 730 000, поскольку пользователи удалили или обновили свои установки CCleaner.

Компания также хотела подчеркнуть, что взлом произошел до того, как Avast купила Piriform, и уже после инцидента, Avast перенесла внутреннюю платформу Piriform на собственную IT-инфраструктуру Avast.

Зараженный CCleaner работал в обход защиты антивирусов. Как удалить угрозу

Также подчеркивается, что пользователям не нужно переустанавливать или откатывать машины до даты, предшествующей 15 августа. Обновления двух затронутых приложений достаточно для восстановления безопасности.

Стеклер и Влчек сказали:

Мы сожалеем о неудобствах, испытываемых клиентами Piriform. Повторяем, мы принимаем на себя ответственность за данное нарушение безопасности.

Опасность атак типа "Supply chain"

Данный инцидент вызвал немало тревоги в индустрии компьютерной безопасности. Многие эксперты сравнивали его с инцидентом M.E.Doc, когда хакеры скомпрометировали процесс обновления программного обеспечения украинской компании и использовали его для запуска вспышки заражения шифровальщиком NotPetya.

Известный исследователь вредоносных программ Кевин Бомонт написал в своем твитере:

Если угроза не была вовремя обнаружена, я считаю, что это был бы огромный, очень глобальный инцидент. Взломы типа “Supply chain” реальны и представляют повышенную опасность. Разработчикам необходимо заблокировать свои системы сборки и обновления как можно скорее.