Эксперты Avast обнародовали новые сведения о прошлогоднем инциденте с CCleaner.
Как сообщает Bleeping Computer, согласно докладу, представленному на конференции SAS в Мексике, хакеры, проведшие атаку на инфраструктуру CCleaner и добавившие бэкдор в данную утилиту, также готовились к заражению уже скомпрометированных компьютеров новой разновидностью вредоносного программного обеспечения.
Инцидент произошел в сентябре прошлого года, когда специалисты Avast выявили вредоносную программу, внедренную в 32-разрядные версии CCleaner v5.33.6162 и CCleaner Cloud v1.07.3191. Как утверждают эксперты, вредоносная программа заразила около 22700000 компьютеров, похищая при этом лишь такие базовые сведения, как имя компьютера и данные о домене.
Позже выяснилось, что внедрение данной программы являлось всего лишь начальным этапом крупномасштабной киберкампании для поиска компьютеров, подключенных к внутренним сетям таких корпораций, как Akamai, Cisco, Google, Intel, Microsoft и Oracle. В рамках второго этапа хакеры внедрили вредоносную программу в 40 компьютеров. Как утверждают эксперты Avast, Cisco Talos и «Лаборатории Касперского», атаку организовала кибергруппировка Axiom, которая, вероятно, «работает» с территории Китая.
Согласно докладу, представленному на конференции в Мексике, хакеры также готовились к третьему этапу киберкампании. На компьютерах сотрудников компании-разработчика CCleaner – Piriform – удалось обнаружить образец вредоносной программы, которая присутствовала там с 12 апреля прошлого года. По мнению экспертов, злоумышленники применяли сети Piriform для подготовки основного взлома.
Обнаруженная программа называется ShadowPad. Она оснащена целым арсеналом плагинов для различных целей. Впрочем, хакеры, вероятнее всего, хотели использовать ShadowPad как кейлоггер.
Специалисты Avast утверждают, что программа ShadowPad должна была применяться на третьем этапе киберкампании. Однако ИБ-экспертам заблаговременно удалось обнаружить инфицированную версию CCleaner, помешав планам злоумышленников.
