A quanto pare Avast non ci sta a passare per agente “appestatore” colpevole di aver diffuso il malware Floxif assieme alla versione 5.33.6162 di CCleaner , accusa che in effetti rappresenta una pessima pubblicità per una società produttrice di software antivirale e che ha spinto il management a pubblicare un post chiarificatore sul blog ufficiale .
Il recente, gravissimo incidente che ha coinvolto Equifax ha naturalmente reso i mezzi di comunicazione e gli utenti particolarmente sensibili alle brecce di sicurezza, spiegano il CEO Vince Steckler e il CTO Ondrej Vlcek, ed è giusto che le società produttrici tengano in debita considerazione questa sensibilità quando hanno a che fare con attacchi e compromissioni a opera dei cyber-criminali.
Nel caso del malware di CCleaner, sostengono i manager, Avast ha deciso di acquisire l’azienda responsabile (Piriform) il 18 luglio scorso, mentre le prime prove di una breccia aperta sui server di Piriform erano già emerse il 3 luglio . La compromissione si sarebbe insomma verificata ben prima dell’acquisizione e non dopo, come invece era stato spiegato in precedenza.
La distribuzione della versione di CCleaner infetta è poi avvenuta ad agosto, e a quel punto i sistemi di analisi delle società di sicurezza hanno cominciato a identificare la presenza di Floxif sui PC degli utenti con le relative comunicazioni di rete verso i centri di comando&controllo (C&C) remoti.
Avvertita del problema, Avast ha avviato un’indagine interna il 12 settembre, contemporaneamente all’indagine indipendente di Cisco poi riportata in questi giorni. Cisco ha infine provveduto a registrare tutti i server di C&C per rendere inoffensivo il malware, mentre Avast ha collaborato con le autorità per mettere i server offline e il 15 settembre Piriform ha rilasciato versioni pulite di CCleaner e CCleaner Cloud (che sovrascrivono l’eseguibile infetto con versioni legittime). Solo tre giorni dopo, quando tutto era già stato risolto, l’incidente è divenuto di dominio pubblico.
Avast ha poi aggiornato i numeri sugli utenti che avrebbero scaricato le versioni infette dell’utility di ottimizzazione, ora scesi a 730.000 dagli oltre 2 milioni stimati in precedenza. La società si è dichiarata pienamente responsabile dell’accaduto , ed è ora impegnata a inglobare il sistema IT di Piriform nella propria infrastruttura .
Resta l’allarme diffuso dai ricercatori sui rischi di un’azione cyber-criminale tanto sofisticata da compromettere la “catena produttiva” interna di un’azienda responsabile di un software popolare come CCleaner, oltre al “pericolo scampato” per una breccia che avrebbe potuto avere conseguenze ancora peggiori se non fosse stata identificata in tempo.
Alfonso Maruccia