CCleaner Attack Timeline-Voici comment les pirates informatiques ont infecté 2,3 millions de PC

L’année dernière, le populaire logiciel de nettoyage de système CCleaner a subi une attaque massive de malware de la chaîne d’approvisionnement de tous les temps

Où les pirates ont compromis les serveurs de l’entreprise pendant plus d’un mois et remplacé la version originale par une malveillante.
L’attaque de logiciels malveillants a infecté plus de 2,3 millions d’utilisateurs qui ont téléchargé ou mis à jour leur application CCleaner entre Août et Septembre l’année dernière à partir du site officiel avec la version backdoored du logiciel.

Maintenant, il s’avère que les pirates ont réussi à infiltrer le réseau de l’entreprise près de cinq mois avant de remplacer la version officielle par CCleaner, a révélé Ondrej Vlcek, vice-président et directeur technique d’Avast, lors de la conférence RSA à San Francisco mardi.
Chronologie de 6 mois de l’attaque de la chaîne d’approvisionnement de CCleaner
Vlcek a partagé une brève chronologie de l’incident de l’année dernière qui a été le pire cauchemar de l’entreprise, détaillant comment et quand des pirates inconnus ont piraté Piriform, la société qui a créé CCleaner et a été acquise par Avast en juillet 2017.
11 mars 2017 ( 5 AM heure locale) - Les attaquants ont d’abord accédé à un poste de travail sans surveillance de l’un des développeurs CCleaner, qui était connecté au réseau Piriform, à l’aide du logiciel de support à distance TeamViewer.

La société estime que les pirates ont réutilisé les informations d’identification du développeur obtenues lors de précédentes violations de données pour accéder au compte TeamViewer et ont réussi à installer des logiciels malveillants à l’aide de VBScript lors de la troisième tentative.
12 mars 2017 (4 h, heure locale) - À l’ aide de la première machine, les pirates ont pénétré dans le deuxième ordinateur sans surveillance connecté au même réseau et ont ouvert une porte dérobée via le protocole RDP (Remote Desktop Service) de Windows.

À l’aide de l’accès RDP, les pirates ont supprimé un binaire et une charge utile malveillante - un deuxième niveau de malwares (ancienne version) qui a ensuite été livré à 40 utilisateurs CCleaner - sur le registre de l’ordinateur cible.
14 mars 2017 - Les attaquants ont également infecté le premier ordinateur avec l’ancienne version du malware de deuxième niveau.
Avril 4, 2017 -Attackers a compilé une version personnalisée de ShadowPad, une porte dérobée infâme qui permet aux attaquants de télécharger d’autres modules malveillants ou de voler des données, et cette charge utile est la troisième étape de l’attaque CCleaner.

12 avril 2017 - Quelques jours plus tard, des attaquants ont installé la charge utile de troisième étape sur quatre ordinateurs du réseau Piriform (en tant que bibliothèque mscoree.dll) et un serveur de génération (en tant que bibliothèque d’exécution .NET).
Entre mi-avril et juillet -Pendant cette période, les attaquants ont préparé la version malveillante de CCleaner et tenté d’infiltrer d’autres ordinateurs du réseau interne en installant un keylogger sur des systèmes déjà compromis pour dérober des informations d’identification et en se connectant avec RDP. .
18 juillet 2017 - La société de sécurité Avast a acquis Piriform, la société de développement de logiciels basée au Royaume-Uni derrière CCleaner, avec plus de 2 milliards de téléchargements.
2 août 2017- Attackers a remplacé la version originale du logiciel CCleaner de son site officiel avec sa version backdoored de CCleaner, qui a été distribuée à des millions d’utilisateurs.
13 septembre 2017 - Les chercheurs de Cisco Talos ont détecté la version malveillante du logiciel , qui était distribué sur le site Web officiel de la société depuis plus d’un mois, et ont immédiatement averti Avast.
La version malveillante de CCleaner avait une charge utile de malware à plusieurs étapes conçue pour dérober des données à partir d’ordinateurs infectés et les renvoyer à un serveur de commande et de contrôle contrôlé par l’attaquant.
Bien qu’Avast, avec l’aide du FBI, ait pu arrêter le serveur de commande et de contrôle des attaquants dans les trois jours suivant la notification de l’incident, le logiciel malveillant CCleaner avait déjà été téléchargé par 2,27 millions d’utilisateurs.
En outre, il a été constaté que les attaquants pouvaient alors installer une charge utile de deuxième étape sur 40 ordinateurs sélectionnés exploités par de grandes sociétés technologiques internationales, notamment Google, Microsoft, Cisco, Intel, Samsung, Sony, HTC, Linksys, D-Link, Akamai et VMware.
Cependant, la société n’a aucune preuve si la charge utile de troisième étape avec ShadowPad a été distribuée à l’une de ces cibles.
"Notre enquête a révélé que ShadowPad avait déjà été utilisé en Corée du Sud, et en Russie, où des attaquants ont pénétré dans un ordinateur, observant un transfert d’argent." Avast a dit.
"Le plus ancien exécutable malveillant utilisé dans l’attaque russe a été construit en 2014, ce qui signifie que le groupe derrière pourrait avoir espionné pendant des années."
Sur la base de leur analyse de l’exécutable ShadowPad du réseau Piriform, Avast estime que les attaquants malveillants à l’origine du malware sont actifs depuis longtemps, espionnant les institutions et les organisations de manière si complète.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image