Compartilhe:

O hacking que ocorreu recentemente nos servidores de download do CCleaner e que preocupou muitos usuários, possui indícios de que poderia ter sido realizado por um grupo de ciberespionagem chinês que tinha como alvo empresas de tecnologia.

As investigações apontam evidências para um grupo de ciberespionagem que é conhecido principalmente pelo nome de Axiom, mas também é chamado de APT17, DeputyDog, Tailgater Team, Hidden Lynx, Voho, Grupo 72 ou AuroraPanda.

Semelhanças no código do malware

Costin Raiu, Diretor Global de Pesquisa e Análise da Kaspersky Lab, apontou uma semelhança entre o malware incorporado no CCleaner contaminado e o do grupo Axiom.

Em um tweet feito na manhã da terça-feira do dia 19/09, um dia após o incidente ter sido divulgado, Raiu apontou semelhanças entre o malware e o trojan backdoor Missl, visto anteriormente nas operações do Axiom.

Em um relatório divulgado na tarde desta quarta-feira, dia 20/09, pela Cisco Talos, os pesquisadores confirmaram as mesmas semelhanças que Raiu viu anteriormente pela manhã.

Não estamos dizendo definitivamente que o Group 72 estava por trás deste incidente, mas apenas que havia algum código compartilhado“, disse o pesquisador da Cisco Talos, Craig Williams, por e-mail ao site Bleeping Computer, mostrando a cautela que todos os pesquisadores de segurança experientes mostram quando se trata de nomear autores de ciberataques.

CCleaner | Semelhanças entre o código do malware e o backdoor Missl.

CCleaner | Semelhanças entre o código do malware e o backdoor Missl.

Pesquisadores tiveram acesso ao servidor de C&C do malware Floxif

Além de confirmar as descobertas da Kaspersky, os pesquisadores da Cisco Talos disseram que uma terceira parte forneceu uma cópia dos arquivos do servidor de comando e controle, incluindo o seu banco de dados.

Era neste servidor onde as versões contaminadas do CCleaner estavam enviando as informações coletadas dos computadores infectados. Nestas informações incluíam o nome do computador, uma lista dos programas instalados, lista dos processos em execução, endereços MAC das três primeiras interfaces de rede e IDs únicos para identificar cada computador separadamente.

Os pesquisadores da Cisco foram capazes de verificar a validade deste banco de dados, à partir de suas próprias máquinas de teste.

O malware havia infectado 20 PCs (?!!)

Após analisar estes arquivos, os pesquisadores perceberam que os relatórios iniciais sobre o malware do CCleaner, chamado de Floxif, eram falsos.

Os relatórios iniciais mostravam que o malware tinha a capacidade de realizar o download de um malware de segundo estágio e executar outro malware, mas este recurso nunca foi utilizado.

Após analisar o banco de dados do servidor de comando e controle, os pesquisadores disseram que os hackers infectaram 20 computadores ao redor do mundo (e não milhões?? pqp).

Os arquivos PHP que funcionavam no servidor verificavam os usuários recebidos e identificavam os computadores adequados para baixar o malware de segundo estágio, um backdoor leve. Os pesquisadores disseram que este backdoor buscaria por dados em um IP localizado no github.com ou wordpress.com e faria o download de mais malware no sistema.

Os alvos eram grandes empresas de tecnologia

A Cisco Talos citou que os atacantes tinham como alvo empresas com base no nome de domínio. Ironicamente, a Cisco era um alvo, juntamente com outras organizações, como a Singtel, HTC, Samsung, Sony, Gauselmann, Intel, VMWare, O2, Vodafone, Linksys, Epson, MSI, Akamai, DLink, Oracle (Dyn) e até mesmo a omnipresente Microsoft e Google (Gmail).

CCleaner | Empesas alvo

CCleaner | Empesas alvo

A Cisco diz que contatou as organizações afetadas e informou-as de possíveis violações.

Os pesquisadores têm certeza de suas descobertas, pois o banco de dados do servidor de C&C continha duas tabelas principais, uma lista de todos os hosts infectados com o malware de primeiro estágio (Floxif – o que coletava informações de todos os usuários) e outra tabela que acompanhava todos os computadores infectados com o malware do segundo estágio.

A primeira tabela continha dados de mais de 700.000 computadores, enquanto a segunda continha 20, após a remoção de duplicatas. Ambas as entradas armazenadas armazenavam dados entre 12 de setembro e 16 de setembro.

Parece que os dados anteriores a 12 de setembro foram apagados. Isso provavelmente foi intencional, para limitar a quantidade de informações que poderiam ser vistas ou desviadas do servidor“, disse Williams ao site Bleeping Computer.

Os atacantes poderiam atacar qualquer alvo que quisessem

A Cisco fala da importância deste banco de dados. Por exemplo, apenas executando uma simples consulta SQL, os pesquisadores da Cisco conseguiram identificar 540 computadores em redes governamentais e 51 outros em bancos.

CCleaner | Consulta dos alvos

CCleaner | Consulta dos alvos

O grupo tem um histórico de empresas de tecnologia como alvo

Mesmo que a evidência que liga o incidente do CCleaner ao grupo Axiom não afirme com 100% a autoria, empresas de tecnologia como alvo se encaixa no padrão das operações anteriores do Axiom, um grupo que emprendeu um grande esforço ao invadir tais alvos, especialmente no início de 2010.

Essas empresas uniram seus esforços como parte de uma operação chamada Operação SMN, um esforço conjunto para desmascarar ferramentas e o modus operandi do grupo.

Outros relatórios detalhando as operações do grupo Axiom estão disponíveis aqui, aqui, aqui ou aqui, apenas para citar alguns. O recente relatório da Cisco Talos possui uma análise mais aprofundada dos arquivos do servidor C&C, bem como outras informações sobre o incidente. Também mostra que o servidor de C&C foi configurado para usar um fuso horário chinês (PRC = República Popular da China).

Atualização (21/09/2017, 05:50 AM, horário de Brasília): Em um post em seu blog, a Avast diz que confirmou de forma independente a maioria das descobertas da Cisco sobre o malware do segundo estágio e a segmentação do ataque para grandes empresas de tecnologia.

Nós estamos contactando individualmente as empresas que sabemos que foram afetadas, fornecendo-lhes informações técnicas adicionais para auxiliá-los“, disse a Avast.

Fonte:

https://www.bleepingcomputer.com/news/security/ccleaner-hack-carried-out-in-order-to-target-big-tech-companies/

Compartilhe: