Alfonso Maruccia

Breccia CCleaner, i chiarimenti di Avast

La security enterprise ritorna sull'incidente del malware camuffato nel codice di CCleaner, un problema che si sarebbe verificato prima dell'acquisizione dello sviluppatore e per cui sono giÓ state approntate le dovute contromisure

Roma - A quanto pare Avast non ci sta a passare per agente "appestatore" colpevole di aver diffuso il malware Floxif assieme alla versione 5.33.6162 di CCleaner, accusa che in effetti rappresenta una pessima pubblicità per una società produttrice di software antivirale e che ha spinto il management a pubblicare un post chiarificatore sul blog ufficiale.

Il recente, gravissimo incidente che ha coinvolto Equifax ha naturalmente reso i mezzi di comunicazione e gli utenti particolarmente sensibili alle brecce di sicurezza, spiegano il CEO Vince Steckler e il CTO Ondrej Vlcek, ed è giusto che le società produttrici tengano in debita considerazione questa sensibilità quando hanno a che fare con attacchi e compromissioni a opera dei cyber-criminali.

Nel caso del malware di CCleaner, sostengono i manager, Avast ha deciso di acquisire l'azienda responsabile (Piriform) il 18 luglio scorso, mentre le prime prove di una breccia aperta sui server di Piriform erano già emerse il 3 luglio. La compromissione si sarebbe insomma verificata ben prima dell'acquisizione e non dopo, come invece era stato spiegato in precedenza.
La distribuzione della versione di CCleaner infetta è poi avvenuta ad agosto, e a quel punto i sistemi di analisi delle società di sicurezza hanno cominciato a identificare la presenza di Floxif sui PC degli utenti con le relative comunicazioni di rete verso i centri di comando&controllo (C&C) remoti.

Avvertita del problema, Avast ha avviato un'indagine interna il 12 settembre, contemporaneamente all'indagine indipendente di Cisco poi riportata in questi giorni. Cisco ha infine provveduto a registrare tutti i server di C&C per rendere inoffensivo il malware, mentre Avast ha collaborato con le autorità per mettere i server offline e il 15 settembre Piriform ha rilasciato versioni pulite di CCleaner e CCleaner Cloud (che sovrascrivono l'eseguibile infetto con versioni legittime). Solo tre giorni dopo, quando tutto era già stato risolto, l'incidente è divenuto di dominio pubblico.

Avast ha poi aggiornato i numeri sugli utenti che avrebbero scaricato le versioni infette dell'utility di ottimizzazione, ora scesi a 730.000 dagli oltre 2 milioni stimati in precedenza. La società si è dichiarata pienamente responsabile dell'accaduto, ed è ora impegnata a inglobare il sistema IT di Piriform nella propria infrastruttura.

Resta l'allarme diffuso dai ricercatori sui rischi di un'azione cyber-criminale tanto sofisticata da compromettere la "catena produttiva" interna di un'azienda responsabile di un software popolare come CCleaner, oltre al "pericolo scampato" per una breccia che avrebbe potuto avere conseguenze ancora peggiori se non fosse stata identificata in tempo.

Alfonso Maruccia
Notizie collegate
  • AttualitàEquifax, la breccia più grave della storia americana?La societÓ specializzata nell'analisi del rischio finanziario viene compromessa da ignoti criminali che rubano i dati di centinaia di milioni di utenti, un danno di una gravitÓ senza precedenti che si farÓ sentire per gli anni a venire
  • AttualitàCCleaner, da utility a dispensa malwareIl celebre software di ottimizzazione del sistema Ŕ stato compromesso da ignoti, che l'hanno sfruttato per distribuire malware a migliaia di utenti ignari del fatto. La colpa non Ŕ degli sviluppatori di Piriform, ma presumibilmente di un insider di Avast, con la complicitÓ dei certificati Symantec
14 Commenti alla Notizia Breccia CCleaner, i chiarimenti di Avast
Ordina