Інцидент з CCleaner в минулому році наробив багато шуму, і фахівці з безпеки продовжують його вивчення. Нагадаємо: 18 вересня 2017 року компанія Avast повідомила, що CCleaner був використаний кіберзлочинцями, щоб поширювати шкідливе ПЗ через установчий файл утиліти. Змінений файл установки був завантажений 2,27 млн користувачів. Шкідливе ПЗ потрапило на сервери Piriform, що розробляє CCleaner, в період з 11 березня по 4 липня 2017 року до придбання Piriform компанією Avast 18 липня 2017 року.
Перший етап шкідливого ПЗ був розроблений для збору нечутливої інформації від користувачів CCleaner, включаючи, наприклад, ім'я комп'ютера, список встановленого програмного забезпечення і список запущених процесів. Цей етап включав можливості завантажувача, які були використані для встановлення двоїчного коду другого етапу всього лише на 40 комп'ютерів з мільйонів пристроїв, заражених першою хвилею. Тобто атака була вкрай виборчою. Нещодавно Avast опублікувала інформацію про те, що міг бути і третій передбачуваний етап атаки. Втім, доказів того, що бінарний файл третього етапу був завантажений на заражені комп'ютери, у компанії немає.
Щоб усунути загрозу з мережі Piriform, компанія перенесла середу збірки Piriform в інфраструктуру Avast, замінила все обладнання і перевела персонал на внутрішню IT-систему Avast. Компанія здійснила ретельну перевірку інфраструктури Piriform і комп'ютерів і виявила попередні версії першого і другого етапів, а також докази використання на чотирьох комп'ютерах спеціалізованого інструменту ShadowPad, який застосовується деякими кіберзлочинцями. Версія була, схоже, спеціально розроблена для атаки на Piriform і встановлена другим етапом атаки.
Імовірно, за всіма атаками на CCleaner стоїть китайська група хакерів Axiom, яка і є автором ShadowPad. Avast виявила і журнальні файли ShadowPad, які містили зашифровані натискання клавіш з встановленого на комп'ютерах клавіатурного шпигуна, який працював з 12 квітня 2017 року. За допомогою ShadowPad кіберзлочинці могли керувати чотирма зараженими системами віддалено, збирати облікові дані і аналізувати операції. Крім клавіатурного шпигуна на комп'ютерах були встановлені інші інструменти, в тому числі утиліти для викрадення паролів і віддаленої установки додаткового ПЗ.
ShadowPad було встановлено на системах мережі Piriform, але жоден з комп'ютерів користувачів CCleaner, схоже, не був заражений. Втім, Avast вважає, що це планувалося в рамках третього етапу. Тоді як близько 2,27 млн клієнтів CCleaner і підприємств завантажили заражений продукт CCleaner, зловмисники встановили шкідливий код другого етапу тільки на 40 систем, що обслуговуються високотехнологічними і телекомунікаційними компаніями.
