Avast torna sull'incidente CCleaner: come hanno fatto gli aggressori a inserire un malware nel programma

A settembre scorso avevamo dato conto del grave incidente che ha coinvolto CCleaner, nota utilità per la manutenzione del sistema da luglio 2017 di proprietà di Avast (Avast acquisisce Piriform insieme con CCleaner, Recuva e Speccy).
CCleaner 5.33, distribuito attraverso il sito ufficiale, conteneva un pericoloso malware che poi si verificò come fosse stato appositamente progettato per prendere di mira specifiche aziende (vedere CCleaner con malware: l’attacco è più ampio e sofisticato. Le novità).

CCleaner è infatti un’utilità largamente popolare tra gli utenti finali ma è comunque utilizzata anche in ambienti business tanto che gli esperti del Cisco Talos Group accertarono la presenza di riferimenti espliciti a Microsoft, Sony, Cisco, Samsung, Intel, D-Link, Vodafone, Epson e HTC nel payload del malware.

A distanza di diversi mesi Avast torna oggi sulla questione facendo luce sull’accaduto e spiegando nel dettaglio le modalità di attacco.
Innanzi tutto si conferma che la versione di CCleaner, prima che venisse rimossa, fu scaricata ben 2,27 milioni di volte. Di queste installazioni avvenute con successo, in 1,16 milioni di casi il malware “ha chiamato casa” collegandosi con i server remoti amministrati dai criminali informatici.
A fronte di una campagna così vittoriosa dal punto di vista degli aggressori, i criminali hanno realmente bersagliato soli 40 sistemi infiltrandosi nelle reti locali di 11 aziende di alto profilo.

Ondrej Vlcek, vice presidente esecutivo e CTO di Avast, ha spiegato che tutto è cominciato con un’aggressione ai danni del sistema di uno degli sviluppatori di Piriform, l’azienda che è stata acquistata da Avast e che da tempo segue lo sviluppo di CCleaner (come di altre note e diffusissime utilità).
L’attacco ha sfruttato un server TeamViewer installato su un sistema appartenente a uno sviluppatore di Piriform per poi aggredire un secondo computer. Durante l’intrusione è stato installato il malware ShadowPad, capace di attivare anche funzionalità di keylogging.

Dopo aver guadagnato l’accesso ai sistemi di Piriform, gli aggressori se ne sono stati tranquilli per un paio di mesi iniziando poi a modificare il contenuto dei pacchetti d’installazione di CCleaner, proposti pubblicamente agli utenti.
Sebbene Avast, grazie anche alla collaborazione con FBI, sia riuscita a neutralizzare i server remoti usati dagli aggressori a distanza di tre giorni dalla scoperta dell’aggressione, l’impatto dell’incidente che ha coinvolto Piriform è stato davvero esteso.

Vlcek ammette che l’acquisizione di Piriform è stata portata a termine analizzando soprattutto gli aspetti economici dell’intesa ma tralasciando colpevolmente le questioni collegate alla sicurezza e alle policy utilizzate internamente dalla società. Si tratta di controlli che nella maggior parte dei casi vengono lasciati da parte e che invece sono cruciali, come insegna il caso CCleaner.