Husker du fjorårets angrep på forsyningskjeden på et populært oppryddingsprogramvare som heter CCleaner? Nei? La oss så minne deg på hvor intenst angrepet var!! Rundt 2,3 millioner brukere ble smittet av dette malwareangrepet etter at hackere kompromitterte selskapets server i mer enn en måned. De lyktes også med å erstatte den originale programvaren med en infisert programvare. Alle som oppgraderte til eller lastet ned den bakdørversjonen av CCleaner-appprogramvaren fra det offisielle nettstedet, ble angrepet.
Nylig avslørte Ondrej Vlcek, konserndirektør og GM i forretningsenheten for forbrukere i Avast Software hvordan hackere fikk ulovlig tilgang til Piriform-nettverket via et eksternt skrivebordstilgangsprogram kalt TeamViewer. Han uttalte også at hackere på en eller annen måte klarte å infiltrere seg inn på serveren fem måneder, før den opprinnelige programvaren ble erstattet av en ondsinnet programvare.
Som nevnt før var angrepet ikke øyeblikkelig, men en forhåndsplanlagt tilnærming for å ødelegge eksistensen av selskapet. Bruddet ble utført på Piriform, selskapet som oppfant CCleaner og ble kjøpt opp av Avast i juli 2017.
Det første bruddet ble vitne til 11. mars 2017, da hackere hadde tilgang til en av CCleaner-utviklerens arbeidsplass, som generelt forble uovervåket. Arbeidsstasjonen var koblet til Piriform-nettverket som brukte TeamViewer-programvaren. I følge Vlcek behandlet hackere påloggingsinformasjonen til utviklere, som ble anskaffet fra tidligere datainnbrudd. Disse legitimasjonene ble brukt for å få tilgang til TeamViewer-kontoen og for å installere skadelig programvare ved hjelp av VBScript.
Kilde: ciol.com
Dagen etter, dvs. 12. mars 2017, brøt hackere seg inn på andre datamaskiner som var koblet til samme server via samme datamaskin, som ble hacket en dag tidligere. Til slutt åpnet de en bakdør via Windows RDP (Remote Desktop Service) -protokoll og etterlot en ondsinnet binær nyttelast.
Snart ble en tilpasset versjon av ShadowPad samlet 4. april 2017 som tillot hackere å gå inn på serveren og stjele informasjon og laste ned ondsinnede filer. Selskapet anser denne nyttelasten som den tredje fasen av angrepet. 12. april 2017 ble nyttelast på tredje trinn installert på Piriform-nettverket og en byggeserver via hackede datamaskiner.
Den infiserte versjonen av CCleaner-programvaren ble utviklet mellom midten av april og juli. I mellomtiden prøvde hackere å bryte seg inn i det interne nettverket til selskapet ved å installere en keylogger. Installasjonen ble gjort på datamaskiner som tidligere var kompromittert for å stjele autorisasjoner og for å logge på administrative rettigheter via RDP.
18. juli 2017 kjøpte Avast Piriform, og 2. august 2017 byttet hackere den originale versjonen av CCleaner-programvaren med den falske på den offisielle nettsiden. Den ondsinnede versjonen ble sendt til millioner av brukere. Til slutt, 13. september 2017, oppdaget forskere ved Cisco Talos den infiserte versjonen og varslet Avast umiddelbart.
Les også:Slik fjerner du skadelig programvare og virus på din Windows-PC
Hackere planla et flertrinns angrep med skadelig nyttelast med den infiserte versjonen av CCleaner. De ble designet for å ødelegge datamaskiner og rane data fra enhetene som lastet ned eller oppgradert den falske CCleaner.
Kommando- og kontrollserveren til hackeren ble stengt i løpet av tre dager etter meldingen, men malware hadde allerede infisert mer enn 3 millioner brukere. I følge rapporten var hackerne vellykkede med å installere nyttetrinns nyttelast på mer enn 40 datamaskiner som ble drevet av internasjonale selskaper som Microsoft, Google, Samsung, Sony etc.
Kilde: mspoweruser.com
Selv om det ikke er bevis på om nyttelast i tredje trinn ble distribuert eller ikke, men et videre angrep ville ha ødelagt eksistensen av selskap. Tredje trinns angrep var en tilpasset versjon av nettkriminelle verktøy ShadowPad, hvis det ble injisert, ville det gitt hackere nøkkellogging, fjernkontroll og passord stjele evner.
Les også:Noen vanlige og populære typer Android Mobile Malware
Etterforskningen avslørte at ShadowPad tidligere har blitt brukt i Russland og Sør-Korea, der hackere infiltrerte datamaskiner som var involvert i pengeoverføring. I henhold til rapporten ble denne typen angrep sist vitne til i 2014 og ble henrettet i Russland. Dette viser at gruppen har vært aktiv lenge og spionerer i årevis før de setter i gang et angrep.
Nå er det virkelige spørsmålet hvor trygge vi og våre data er? Har vi noen alternativer for å unnslippe slike skadelige angrep? Dessverre har vi ingen svar, og det eneste tilgjengelige alternativet er å være våken.