CCleaner 攻擊逐漸揭示了它的秘密。日前,安全研究人員透露,超過 200 萬台 PC已損壞的 CCleaner 更新污染,在 Windows 電腦上安裝後門。一個更深入的分析Cisco Talos Intelligence 透露,該後門在少數情況下被用來安裝第二個惡意軟體。研究人員發現的 70 萬台受感染機器中,大約有 20 台收到了第二個禮包。
技術證據表明,駭客只對屬於某些科技公司的機器感興趣,例如三星、VMware、英特爾、微軟或思科。簡而言之,CCleaner 行動實際上是針對性很強的攻擊,因此目標很可能是竊取機密資訊。因此,個人用戶可以放心,只需更新 CCleaner 即可解決問題。另一方面,目標公司將被迫將其電腦切換到凱馳,以確保沒有惡意軟體隱藏在某處。
CCleaner 攻擊針對的是具有輔助有效負載的特定公司清單。pic.twitter.com/3ZMq9eXmH8
— @mikko (@mikko)2017 年 9 月 21 日
誰是這次奇怪攻擊的幕後黑手?思科 Talos Intelligence 能夠恢復一批文件來自與 CCleaner 攻擊明顯相關的命令和控制 (C&C) 伺服器。在這批PHP檔案中,他們看到代碼中指定的時區是“PRC”,代表“中華人民共和國”。顯然,這還遠遠不足以做出歸因。
然而,透過研究 CCleaner 後門,研究人員發現卡巴斯基我們發現一段程式碼也出現在中國網路間諜組織 APT17(又稱 Group 72,又稱「極光行動」)所使用的惡意軟體中。這項發現得到了該公司的證實整數,它指出相關程式碼尚未在任何其他已知惡意軟體或公共軟體儲存庫中出現。因此,這種獨特性強化了攻擊來自 APT17 的假設。
無論如何,該駭客組織的概況與此類行動非常吻合。 APT17 駭客至少從 2009 年就開始活動,專門從事高級網路間諜活動。這些工具及其技術非常複雜且特別謹慎。他們主要針對歐洲、美國和東南亞。他們在所有經濟和政治領域分發間諜軟體:軍備、金融、政府、外交、科技等。
他們熱愛高科技公司
駭客攻擊高科技公司似乎是他們的專長之一。 2009年和2010年,他們成功盜版Google以及其他十幾家軟體和 IT 設備供應商,例如 Adobe、Juniper、Rackspace、雅虎或賽門鐵克,尤其是竊取其原始碼。這也導致了美國和中國之間的外交緊張。
2013年,APT17組織入侵了安全公司Bit9,從而獲得了他們的電子證書,並以他們的身份傳播間諜軟體(來源:諾維塔)。 2015 年,他們入侵了微軟的 TechNet 論壇,用後門感染 IT 員工(資料來源:火眼)。 CCleaner 駭客攻擊也是如此:正如 Twitter 上的一些安全專家所指出的那樣,非常複雜且非常「聰明」。
這就是東西的類型#APT17/#HiddenLynx做。他們是少數人之一#易於有膽量這樣做的團體。 🙁
— 羅尼‧託卡佐夫斯基 (@iHeartMalware)2017 年 9 月 21 日
