Alfonso Maruccia

Malware CCleaner, attacco peggiore del previsto

Le analisi della breccia nei server di Piriform fa emergere nuovi, inquietanti dettagli: i cyber-criminali avevano preso di mira societÓ tecnologiche di alto profilo con un attacco molto sofisticato. Ignoti al momento i danni

Roma - Gli autori della breccia nei server di CCleaner erano coinvolti in un'operazione cyber-criminale più pericolosa di quanto inizialmente ipotizzato, con bersagli molto più sensibili della società produttrice dell'utility di ottimizzazione (Piriform) e un sofisticato meccanismo di attacco a doppio stadio. Le indagini sull'incidente estivo vanno avanti e fanno emergere nuovi particolari, e ora gli analisti addebitano agli hacker asiatici una vera e propria operazione di cyber-spionaggio dagli effetti tutti da valutare.

Le nuove analisi dell'attacco contro Piriform e CCleaner hanno portato alla ribalta il nome Axiom, un termine già noto da tempo tramite i suoi tanti alias (APT17, Deputy Dog, Group 72 e altri) e riconducibile a un gruppo di cyber-guastatori operanti dalla Cina. Un fatto, questo, confermato anche dal fuso orario impostato sul server di comando&controllo (C&C) del malware Floxif.

Il malware, appunto: il codice di Floxif presenta somiglianze con il codice malevolo adoperato in passato da Axiom/APT17 (Missl), e non sarebbe la sola spiacevole "sorpresa" ricevuta dagli utenti che lo scorso agosto hanno scaricato la versione infetta di CCleaner.

La funzionalità di Floxif per il download di un payload aggiuntivo era stata fin qui indicata come inutilizzata, ma ora si è scoperto che il malware ha effettivamente scaricato un secondo componente malevolo su un numero di PC non quantificabile - comunque non inferiore alle 20 unità.

Analizzando i database del server di C&C, i ricercatori hanno identificato il secondo malware come una backdoor "leggera" capace - tra l'altro - di contattare un IP nascosto tra le ricerche di github.com o wordpress.com e di scaricare ulteriori componenti malevoli alla bisogna.


La lista delle corporation prese di mira dall'attacco a doppio stadio include nomi di altissimo profilo come Intel, Cisco, Samsung, Sony, VMWare, Microsoft, Google (Gmail) e molti altri. Il numero dei bersagli e delle potenziali vittime dell'infezioni è difficile da quantificare, visto che i database del server di C&C risulterebbe "purgato" dei dati precedenti al 12 settembre.

Resta la pericolosità di un'operazione sofisticata e passata quasi inosservata, una campagna di cyber-spionaggio che, stando alle ricerche sui server di C&C, era riuscita a penetrare sui computer di agenzie governative, istituti bancari e di altre organizzazioni sensibili.

Alfonso Maruccia

Fonte immagini: 1, 2
Notizie collegate
  • SicurezzaMicrosoft, infiltrazioni crackerSui forum di assistenza di TechNet si nascondevano istruzioni destinate alle macchine infette. Opportunamente offuscate, vengono disseminate su domini insospettabili, mascherate da ordinari commenti
  • AttualitàCCleaner, da utility a dispensa malwareIl celebre software di ottimizzazione del sistema Ŕ stato compromesso da ignoti, che l'hanno sfruttato per distribuire malware a migliaia di utenti ignari del fatto. La colpa non Ŕ degli sviluppatori di Piriform, ma presumibilmente di un insider di Avast, con la complicitÓ dei certificati Symantec
  • AttualitàBreccia CCleaner, i chiarimenti di AvastLa security enterprise ritorna sull'incidente del malware camuffato nel codice di CCleaner, un problema che si sarebbe verificato prima dell'acquisizione dello sviluppatore e per cui sono giÓ state approntate le dovute contromisure
52 Commenti alla Notizia Malware CCleaner, attacco peggiore del previsto
Ordina
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)