Kas mäletate eelmise aasta tarneahela pahavararünnakut populaarsele puhastustarkvarale nimega CCleaner? Ei? Seejärel lubage meil teile meelde tuletada, kui intensiivne rünnak oli! Pärast seda, kui häkkerid kompromiteerisid ettevõtte serverit enam kui kuu aja jooksul, nakatas see pahavara rünnak umbes 2,3 miljonit kasutajat. Samuti õnnestus neil algne tarkvara nakatatuga asendada. Igaüks, kes uuendas CCleaneri rakenduse tarkvara tagaukse versiooni või laadis selle alla ametlikult veebisaidilt, langes selle rünnaku saagiks.
Hiljuti paljastasid Avast Software'i tarbijate äriüksuse hr Ondrej Vlcek, EVP ja GM häkkerid said ebaseadusliku juurdepääsu Piriformi võrgule nimega töölaua kaugjuurdepääsuprogrammi kaudu TeamViewer. Samuti märkis ta, et häkkeritel õnnestus kuidagi sisse tungida serverisse viis kuud, enne kui algne tarkvara asendati pahatahtlikuga.
Nagu varem mainitud, ei olnud rünnak hetkeline, vaid ettevõtte olemasolu hävitamiseks ette planeeritud lähenemine. Rikkumine tehti ettevõttele Piriform, mis leiutas CCleaneri, mille Avast omandas 2017. aasta juulis.
Esimest rikkumist nähti 11. märtsil 2017, kui häkkeritel oli juurdepääs ühele CCleaneri arendaja töökohale, mis jäi üldjuhul järelevalveta. Tööjaam oli ühendatud Piriformi võrguga, mis kasutas TeamVieweri tarkvara. Vlceki sõnul töötlesid häkkerid ümber arendajate mandaadid, mis olid omandatud varasematest andmerikkumistest. Neid volitusi kasutati TeamVieweri kontole juurdepääsemiseks ja pahavara installimiseks VBScriptiga.
Allikas: ciol.com
Järgmisel päeval, s.o 12. märtsil 2017 tungisid häkkerid teistesse arvutitesse, mis olid ühendatud sama serveriga sama arvuti kaudu, mis häkkiti päev varem. Lõpuks avasid nad Windowsi RDP (kaugtöölaua teenus) protokolli kaudu tagaukse ja jätsid pahatahtliku binaarse kasuliku koorma.
Varsti koostati 4. aprillil 2017 ShadowPadi kohandatud versioon, mis võimaldas häkkeritel serverisse siseneda, teavet varastada ja pahatahtlikke faile alla laadida. Ettevõte peab seda kasulikku koormust rünnaku kolmandaks etapiks. 12. aprillil 2017 installiti Piriformi võrku ja järk-järgult server häkitud arvutite kaudu 3. etapi kasulik koormus.
CCleaneri nakatunud versioon töötati välja aprilli keskpaigast juulini. Vahepeal üritasid häkkerid tungida ettevõtte sisevõrku, installides klahvilogeri. Installimine tehti arvutites, mis olid varem rikutud autoriseerimiste varastamiseks ja RDP kaudu administraatoriõigustesse sisselogimiseks.
18. juulil 2017 omandas Avast Piriformi ja 2. augustil 2017 vahetasid häkkerid ametlikul veebisaidil tarkvara CCleaner originaalversiooni võltsitud versiooniga. Pahatahtlik versioon levitati miljonitele kasutajatele. Lõpuks, 13. septembril 2017 märkasid Cisco Talose teadlased nakatunud versiooni ja teatasid Avastist koheselt.
Loe ka:Pahavara ja viiruste eemaldamine Windowsi arvutis
Häkkerid kavandasid mitmeastmelise pahavara kasuliku koormuse rünnaku CCleaneri nakatatud versiooniga. Need olid mõeldud arvutite rikkumiseks ja andmete röövimiseks seadmetest, mis laadisid alla või uuendasid võltsitud CCleanerit.
Häkkerite käsu- ja juhtimisserver suleti kolme päeva jooksul pärast teavitamist, kuid pahavara oli nakatanud juba üle 3 miljoni kasutaja. Aruande kohaselt olid häkkerid edukad teise astme kasuliku koormuse installimisel enam kui 40 arvutile, mida haldasid rahvusvahelised ettevõtted nagu Microsoft, Google, Samsung, Sony jne.
Allikas: mspoweruser.com
Kuigi pole tõendeid selle kohta, kas kolmanda etapi kasulikku koormust jaotati või mitte, oleks edasine rünnak ettevõtte olemasolu hävitanud. Kolmanda etapi rünnak oli küberkurjategijate tööriista ShadowPad kohandatud versioon, kui see oleks süstitud, oleks see andnud häkkeritele võtmelogimise, kaugjuhtimise ja paroolide varastamise võimalused.
Loe ka:Mõned levinumad ja populaarsemad Android Mobile'i pahavara tüübid
Uurimise käigus tehti kindlaks, et ShadowPadi on varem kasutatud Venemaal ja Lõuna-Koreas, kus häkkerid tungisid rahaülekannetega arvutitesse. Nagu teate kohaselt nähti sellist rünnakut viimati 2014. aastal ja see hukati Venemaal. See näitab, et rühmitus on olnud pikka aega aktiivne ja luuranud aastaid enne mis tahes rünnaku alustamist.
Nüüd on tegelik küsimus, kui ohutud me oleme ja meie andmed? Kas meil on alternatiive sellistest pahavara rünnakutest pääsemiseks? Kahjuks pole meil vastuseid ja ainus võimalus on valvsaks jääda.