Tin tặc đã xâm nhập vào các máy chủ của công ty nhiều tháng trước khi sự kiện diễn ra và thay thế phiên bản gốc của phần mềm bằng phiên bản độc hại. Avast và Piriform đã xác nhận rằng phiên bản CCleaner v5.33.6162 và CCleaner Cloud v1.07.3191 trên hệ điều hành Windows 32bit đã bị lây nhiễm mã độc.
Diễn biến 6 tháng của cuộc tấn công chuỗi cung ứng
Tháng 7/2017, Piriform - công ty sáng lập ra CCleaner đã được Avast mua lại. Cuộc tấn công xảy ra vào thời điểm tháng 8 - 9/2017. Đại diện Avast đã chia sẻ, đây là sự kiện tồi tệ nhất mà công ty phải hứng chịu về cả cách thức và thời điểm mà tin tặc đã xâm nhập vào hệ thống công ty Piriform.
5h ngày 11/3/2017 theo giờ địa phương, tin tặc đã lần đầu truy cập được vào một máy trạm không được giám sát của một trong những nhà phát triển CCleaner. Máy trạm này được kết nối tới hệ thống mạng Piriform, sử dụng phần mềm điều khiển từ xa TeamViewer.
Tin tặc đã sử dụng lại các chứng nhận ủy nhiệm của nhà phát triển từ những lần vi phạm dữ liệu từ trước đó để truy cập tài khoản TeamViewer và cài đặt thành công mã độc viết bằng VBScript trong lần truy cập thứ ba.
4h sáng ngày 12/3/2017 theo giờ địa phương, bằng việc sử dụng máy trạm đã bị kiểm soát trên, tin tặc đã thâm nhập vào một máy tính không được giám sát khác nằm trong cùng dải mạng. Sau đó, thực hiện cài đặt backdoor thông qua giao thức Windows Remote Desktop Service - RDP.
Ở giai đoạn hai, tin tặc tải lên một mã nhị phân và một payload độc hại để lây nhiễm tới 40 người dùng CCleaner với mục tiêu là registry của máy tính nạn nhân.
Ngày 14/3/2017, tin tặc lây nhiễm thành công mã độc giai đoạn hai trên máy trạm bị thâm nhập đầu tiên.
Ngày 4/4/2017, tin tặc tạo ra một phiên bản tùy biến của ShadowPad - một backdoor cho phép tải xuống các module và payload độc hại hoặc đánh cắp dữ liệu. Piriform nhận định đây là giai đoạn ba của cuộc tấn công.
Ngày 12/4/2017 và một vài ngày sau đó, tin tặc đã cài đặt payload của giai đoạn ba vào 4 máy tính trong hệ thống mạng Piriform.
Từ giữa tháng 4/2017 đến tháng 7/2017, kẻ tấn công chuẩn bị các phiên bản CCleaner độc hại và thử lây nhiễm vào các máy tính khác trong hệ thống mạng nội bộ bằng việc cài đặt một keylogger trên các hệ thống bị thỏa hiệp để đánh cắp các chứng thực và đăng nhập với quyền admin thông qua RDP.
Ngày 2/8/2017, các tin tặc thay thế phiên bản gốc của phần mềm CCleaner từ chính website của công ty bằng phiên bản CCleaner chứa backdoor. Phần mềm chứa mã độc này đã được phân phối tới hàng triệu người dùng.
Ngày 13/9/2017, các nhà nghiên cứu của Cisco Talos đã phát hiện ra phiên bản CCleaner độc hại và báo cho Avast ngay lập tức. Phiên bản CCleaner độc có các payload độc hại nhằm đánh cắp thông tin từ các máy tính bị lây nhiễm và gửi các thông tin đó cho máy chủ điều khiển của kẻ tấn công. Mặc dù được sự giúp đỡ của FBI, trong 3 ngày các máy chủ điều khiển của tin tặc đã bị kiểm soát và ngưng hoạt động. Nhưng phần mềm CCleaner độc hại đã được khoảng 2.27 triệu người dùng tải về.
Hơn nữa, có thể payload độc hại ở giai đoạn hai đã được cài đặt trên 40 máy tính của các công ty công nghệ lớn trên thế giới. Bao gồm: Google, Microsoft, Cisco, Intel, Samsung, Sony, HTC, Linksys, D-Link, Akamai và VMware. Tuy nhiên, chưa có bằng chứng nào về việc backdoor ShadowPad được phân phối đến bất kỳ mục tiêu nào khác.
Avast cho biết: “Cuộc điều tra của chúng tôi tiết lộ rằng ShadowPad đã từng được sử dụng trước đây ở Hàn Quốc và Nga, nơi mà những tin tặc xâm nhập vào máy tính và thực hiện chuyển tiền. Tập tin mã độc này từng được tạo ra năm 2014 trong cuộc tấn công nước Nga, điều đó có nghĩa là nhóm tấn công đứng sau có thể là gián điệp trong nhiều năm.”
Dựa trên việc phân tích sự thực thi của ShadowPad trong hệ thống mạng Piriform, Avast cho rằng mã độc đã nằm tồn tại trong hệ thống mạng Piriform trong một thời gian dài và âm thầm theo dõi các thông tin về công ty.
Mr. 0 (Theo The Hacker News)
10:00 | 08/05/2024
Mới đây, một lỗ hổng nghiêm trọng định danh CVE-2024-31497 được phát hiện trong PuTTY - ứng dụng client SSH phổ biến dành cho Windows làm rò rỉ khóa riêng.
09:00 | 01/04/2024
Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).
16:00 | 26/03/2024
Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
Lợi dụng lỗ hổng CVE-2024-27956 (có điểm 9,9) trong plugin WP Automatic của WordPress, tin tặc có thể tấn công hơn 30.000 trang web bằng cách tạo tài khoản người dùng với đặc quyền quản trị và cài đặt backdoor để truy cập lâu dài.
10:00 | 13/05/2024