Были обнаружены доказательства, связывающие инцидент со взломом CCleaner с группировкой киберпреступников Axiom, которая также известна и под другими названиями: APT17, ViceDog, Tailgater Team, Hidden Lynx, Voho, Group 72 или AuroraPanda.
Общий вредоносный код
Связь между атакой CCleaner и группой Axiom, обнаружил Костин Райю (Costin Raiu), руководитель международной исследовательской команды «Лаборатории Касперского».
Райю нашел схожие моменты между вредоносным кодом CCleaner и кодом бэкдора трояна Missl, который использовался в операциях Axiom.
Эксперты Cisco Talos подтвердили догадки Райю. Исследователь Крейг Уильямс сообщил:
Мы не можем окончательно утверждать, что за этим стоит Group 72, но общий код действительно был обнаружен.
Исследователи получили доступ к командному серверу Floxif
Команда Cisco Talos также сообщила, что сторонняя организация предоставила исследователям копию файлов и базу данных командного сервера.
Этот сервер использовался для получения данных, отправленных взломанными версиями CCleaner. Собранная информация включала имя компьютера, список установленных программ, список запущенных процессов, MAC-адреса для первых трех сетевых интерфейсов и уникальные ID для идентификации каждого компьютера.
Исследователи Cisco смогли проверить достоверность этой базы данных, проанализировав данные, собранные с собственных тестовых машин.
Хакеры заразили 20 компьютеров дополнительными вредоносными модулями
После анализа файлов с сервера, исследователи поняли, что исходные отчеты о вредоносном ПО CCleaner с именем Floxif - были ложными.
В первоначальных отчетах сообщалось, что вредоносное ПО имело возможность загружать полезную нагрузку второй ступени и выполнять другие вредоносные программы, но эта функция никогда не использовалась.
Однако, после анализа базы данных командного сервера исследователи заявили, что операторы успели заразить 20 компьютеров по всему миру.
Файлы PHP, работающие на сервере проверяли входящих пользователей и идентифицировали подходящие компьютеры для загрузки вредоносного кода второй ступени - бэкдора. Исследователи считают, что этот второстепенный бэкдор использовался для извлечения дополнительных данных из поиска сервисов github.com или wordpress.com и загрузки вредоносных программ в систему.
Атака была нацелена на технологические компании
Cisco Talos заявляет, что киберпреступники выбирали жертв в зависимости от доменного имени компьютера. Примечательно, что злоумышленники нацелились на Cisco, наряду с другими технологическими организациями, такими как Singtel, HTC, Samsung, Sony, Gauselmann, Intel, VMWare, O2, Vodafone, Linksys, Epson, MSI, Akamai, DLink, Oracle (Dyn) и даже Microsoft и Google (Gmail).
Cisco связалась с этими организациями и сообщила им о возможных нарушениях безопасности.
Исследователи уверены в своих выводах, поскольку база данных командного сервера содержит две основные таблицы: одна содержит список всех хостов, зараженных вирусом первой ступени (Floxif - тот, который собирает информацию для всех пользователей), и другую таблицу, которая отслеживает все компьютеры, зараженные вредоносным ПО второй ступени.
Первая таблица содержала данные о более чем 700 000 компьютеров, а вторая, после удаления дубликатов, только о 20 компьютерах. Обе таблицы хранят записи, датированные 12 сентября и 16 сентября. Похоже, данные, полученные до 12 сентября были стерты. Вероятно, это было сделано преднамеренно, чтобы ограничить объем информации, которая могла бы быть извлечена из сервера.
Хакеры могли выбирать любых жертв
Cisco указывает на важное значение, которое имеет база данных сервера. Например, просто запустив простой запрос SQL, исследователи Cisco смогли идентифицировать 540 компьютеров, работающих в правительственных сетях, и 51 компьютер в банках.
Исследователи Cisco объясняют:
Эти данные демонстрируют уровень доступа, который был доступен для злоумышленников посредством использования инфраструктуры и связанных с ней вредоносных программ, а также подчеркивает серьезность и потенциальное воздействие этой атаки.
Исследователи также отмечают, что из-за неполных данных командного сервера и использования скрытого загрузка нагрузки второй ступени, пользователям, которые запускали взломанные версии CCleaner, рекомендуется как можно скорее выполнить очистку или восстановить данные из резервных копий, сделанных до 15 августа. Предыдущим советом по борьбе с вредоносным ПО было только обновление приложения CCleaner.
Группировка имеет богатую историю взлома технологических компаний
Прошлые операции Axiom часто были нацелены на известные технологические компании, такие как Cisco, FireEye, F-Secure, iSIGHT Partners (теперь часть FireEye), Microsoft, Tenable, ThreatConnect, ThreatTrack Security, Volexity, Novetta и Symantec.
Эти компании в рамках Операции SMN, объединили свои усилия, чтобы раскрыть инструменты группы и методы работы данной группы хакеров. С результатами их выводов можно ознакомиться в отчетах здесь, здесь, здесь, здесь или здесь.
Угрозы безопасности
• Антивирусы становятся бесполезными? ИИ может генерировать 10 000 вариантов вредоносного ПО, избегая обнаружения в 88% случаев
• Apache устраняет обход уязвимости удаленного выполнения кода в веб-сервере Tomcat
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг
• Обнаружен скрытый руткит Pumakit для Linux. Он может использоваться в таргетированных атаках
• Уязвимость OpenWrt Sysupgrade позволяет распространять вредоносные образы прошивки. Обновите свои устройства
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов