A népszerű rendszertunningoló alkalmazást, a CCleanert egy hónapon keresztül rejtett utassal együtt telepítették számítógépükre a felhasználók. A még nem bizonyított gyanú szerint a legnagyobb technológiai cégek elleni ipari kémkedésre akarták használni a fertőzött alkalmazást.

Azok, akik augusztus 15. és szeptember 12. között töltötték le és telepítették gépükre a CCleaner népszerű rendszertunningoló alkalmazást, egy potyautast is telepítettek gépükre. A hivatalos oldalról letölthető telepítőcsomag egy kártevőt (Win32.Backdoor.Forpivast.A) vitt magával a számítógépre. A CCleaner 5.3-mas verziója érintett az ügyben, azóta már megjelent a 5.3.5-ös változat is, amely nem tartalmazza a kártevőt. A G DATA vírusvédelmi szoftvereit használók számítógépe védett volt a kártevő ellen.

40 kiszemelt számítógép

A potyautasos CCleaner 2,7 millió számítógépet fertőzött meg, ami, ahhoz képest, hogy az alkalmazást közel két milliárdan használják világszerte összességében már több mint kétmilliárd alkalommal töltötték le, nem is olyan nagy szám. Azonban a valóban megfertőzött számítógépek száma mindössze 40 körüli, és mind óriási technológiai cégek hálózatából kerülnek ki. A támadókat célzottan a Microsoft, HTC, Vodafone, Fujitsu, Samsung, Sony számítógépes hálózata érdekelte csupán. A fennmaradó többmillió számítógépet csak megvizsgálta az alkalmazás, és elküldte a központba az adatait. A technológiai cégek hálózatába tartozó számítógépekre azonban egy másik csomagot is letöltött. Hogy ez pontosan mit is csinált a számítógépeken, még vizsgálják a szakértők.

A történetben rendkívül aggasztó dolog, hogy a támadóknak sikerült egy hivatalosan aláírt, tanúsítvánnyal ellátott programba csempészniük kártevőiket. Ezeket a tanúsítványokat azért állítják ki, hogy megnyugtassák a felhasználókat, hogy az alkalmazás egy megbízható fejlesztőtől érkezik. Elképzelhető, hogy ebben az esetben valahogy ellopták a tanúsítványt, és a fertőzött alkalmazást aláírták vele. Aki hasonló tanúsítvány birtokában van, egy nagyon széles, gyanútlan közönséget képes elérni – az egyedüli védekezés, ha fejlett és frissített vírusvédelmi szoftver védi gépünket.

Még mindig folyik a nyomozás

Újdonságot jelent a támadás forgatókönyve: a támadók több millió gépre jutottak be, ezekből választották ki azt a 40 darabot, amelyek az IP címük alapján a nagy technológiai cégekhez voltak köthetőek. Csak ezeket fertőzték meg egy második, jóval összetettebb kártevővel. Ez a célzott támadás arra enged következtetni, hogy valószínűleg ipari kémkedésre szerették volna használni (vagy használták is) a kártevőt. A nyomozás az ügyben még nem zárult le.

Forrás: Avast