Análisis de CCleaner Hack Reveal Tech Giants apuntados

Análisis de CCleaner Hack Reveal Tech Giants apuntados



El martes se supo que la última versión de CCleaner, una popular aplicación propiedad de Avast, había sido pirateada, poco se sabía sobre la intención del atacante. Como suele ocurrir con los ataques llevados a cabo por atacantes con conocimientos y experiencia, los objetivos y el objetivo son excepcionalmente difíciles de determinar. Con tiempo y equipos de investigación dedicados, a menudo estos se pueden determinar, pero determinar quién es responsable es más difícil.

El truco de CCleaner se realizó modificando la versión 5.33 para incluir Malware Floxif según lo informado por Cisco Talos y MorphiSec. Inicialmente, se creía que los usuarios que descargaron la versión en peligro simplemente descargaron una versión falsa de CCleaner. Más tarde, los investigadores determinaron que la versión era legítima y que la cadena de suministro de CCleaner estaba en peligro. En última instancia, se determinó que Floxif, un descargador de malware, se utilizó en esta instancia para recopilar información como el nombre de la computadora, una lista de software instalado, una lista de procesos en ejecución, direcciones MAC para las tres primeras interfaces de red e ID únicos para identificar cada computadora en parte.





El investigador también señaló que el malware solo se ejecutaría en sistemas de 32 bits y también se ejecutaría en sistemas si el usuario que descargó la actualización también tuviera derechos de administrador. Si no, el malware dejaría de ejecutarse.

Lanzamiento de una versión limpia de CCleaner

La versión 5.33 estuvo inicialmente disponible para descargar del 15 de agosto al 12 de septiembre, se reveló que la versión comprometida se descargó en más de 2 millones de máquinas. En respuesta al descubrimiento, Avast lanzó una nueva versión que ya no contenía el malware. La investigación inicial reveló que Floxif podría usarse para descargar y ejecutar otros binarios. Cuando se descubrió inicialmente, no había evidencia de que Floxif descargara cargas útiles adicionales de segunda etapa en hosts infectados.



Si bien el pirateo en sí no causó mucho daño financiero o daño masivo a la reputación, como vimos con el Hack de Equifax , los investigadores de Cisco Talos han advertido que estos ataques a la cadena de suministro deben tomarse en serio. Incluso si inicialmente se sabe poco sobre el ataque, dado que los atacantes podrían describirse como adversarios avanzados, la seriedad no debe asumirse al pie de la letra.

Emerge nueva evidencia

La nueva evidencia publicada por investigadores de Cisco Talos publicada el miércoles de esta semana puede vincular el ataque a un infame grupo de ciberespionaje que se cree que opera desde China. También parece que los objetivos del ataque fueron las principales empresas del sector tecnológico. Según cómo se llevó a cabo el ataque y cómo se utilizó el malware, se establecieron enlaces delgados entre el hack CCleaner y el grupo Axioma . El grupo también se ha llamado APT17, DeicedDog, Tailgater Team, Hidden Lynx, Voho, Group 72 o AuroraPanda, dependiendo de qué empresa de seguridad esté escribiendo sobre el grupo.

truco ccleaner

Inicialmente, fue Costin Raiu , Director del Equipo de Análisis e Investigación Global de Kaspersky Lab, quien descubrió similitudes en el código utilizado en esta instancia y en un ataque previo en el que se cree que Axiom es el responsable. En el informe publicado de Cisco Talos, confirmaron que el código utilizado era de hecho similar, pero dejaron constancia de que 'No estamos diciendo definitivamente que el Grupo 72 estaba detrás de esto, solo que había un código compartido', sin embargo, hay más evidencia que sugiere que participación del grupo.

Los investigadores de Cisco Talos también recibieron una copia de los archivos del servidor de comando y control, incluida su base de datos, a través de un tercero. El análisis del servidor reveló que las versiones contaminadas de CCleaner enviaban información recopilada de hosts infectados. La información recopilada incluyó el nombre de la computadora, una lista de software instalado, una lista de procesos en ejecución, direcciones MAC para las tres primeras interfaces de red e ID únicos para identificar cada computadora en parte. Los investigadores de Cisco también pudieron verificar la validez de esta base de datos al verificar los datos recopilados de sus propias máquinas de prueba.

Si bien inicialmente se creía que Floxif, a pesar de la capacidad de poder descargar y ejecutar otros tipos de malware, esta característica nunca se utilizó. Desarrollos posteriores revelaron que esto era falso. Investigaciones posteriores revelaron que en 20 PC de todo el mundo los actores de amenazas instalaron otro malware. Esto se hizo mediante archivos PHP que se ejecutaban en el servidor C&C para verificar a los usuarios entrantes e identificar computadoras adecuadas para descargar el malware de segunda etapa, una puerta trasera liviana. Los investigadores dicen que esta puerta trasera de la segunda etapa recuperaría 'una IP de los datos clasificados en una búsqueda de github.com o wordpress.com' y descargaría más malware en el sistema.

Objetivos tecnológicos

En Cisco Talos ’ última investigación publicada también enumeró quiénes parecían ser los principales objetivos del ataque. Las víctimas fueron atacadas en función de su nombre de dominio, y las víctimas provenían de Singtel, HTC, Samsung, Sony, Gauselmann, Intel, VMWare, O2, Vodafone, Linksys, Epson, MSI, Akamai, DLink, Oracle (Dyn), Google, Microsoft, e irónicamente la propia Cisco. Cisco notificó a esas organizaciones sobre los peligros potenciales y las posibles violaciones de sus sistemas y redes.

Los investigadores confían en sus hallazgos, ya que dentro de las tablas del servidor C&C se descubrieron que compararon los sistemas infectados con el malware de la primera etapa y una segunda tabla que mantuvo un registro de los sistemas más infectados con el malware de la segunda etapa. Dentro de la primera tabla, se enumeraron un total de 700,000 computadoras, mientras que en la segunda tabla solo se eliminan 20 duplicados una vez. Ambas tablas solo recopilaron datos desde el 12 de septiembre hasta el 16 de septiembre, y los datos parecen haberse eliminado antes del 12 de septiembre. Con solo ejecutar una consulta SQL simple, los atacantes podrían apuntar a lo que quisieran. Cisco, utilizando el mismo método, pudo identificar 540 computadoras dentro de gobiernos y bancos.

Dado el vector de ataque, la similitud del código y los objetivos sugieren que Axiom puede estar detrás del ataque, ya que estos han sido clasificados como sellos utilizados anteriormente por el grupo de ciberespionaje. El grupo dedicó un gran esfuerzo a las empresas de tecnología a principios de la década de 2010. Sus esfuerzos llamaron la atención de las siguientes firmas de seguridad Cisco, FireEye, F-Secure, iSIGHT Partners (ahora parte de FireEye), Microsoft, Tenable, ThreatConnect, ThreatTrack Security, Volexity, Novetta y Symantec. Juntos unieron esfuerzos en la operación SMN para determinar los procedimientos operativos del grupo. Si el grupo es realmente responsable de este último ataque, es posible que los investigadores tengan que unir fuerzas una vez más.