De când a cumpărat Piriform în iulie 2017, software-ul CCleaner a adus numai dureri de cap firmei cehe de securitate Avast.
În primul rând, hackerii chinezi au spart serverele Piriform chiar înainte de achiziția Avast, introducând malware în versiunile oficiale; și lăsând producătorul ceh de antivirus să se ocupe de abandonul din partea partenerilor si a presei pe tot parcursul anilor 2017 și 2018.
Avast a descoperit că hackerii au vizat CCleaner încă o dată, de data aceasta compromitând rețeaua sa internă în proces, și încă o dată, încercând să modifice versiunile oficiale CCleaner.
Cu toate acestea, în ciuda faptului că nu este altceva decât o sursă de probleme, Avast spune că nu are de gând să întrerupă aplicația CCleaner pentru viitorul apropiat.
„Produsul CCleaner este un produs înfloritor, cel mai bun din clasă și îndeplinește o funcție importantă pentru utilizatori”, au declarat cei de la Avast. „Intenționăm ca CCleaner să continue să prospere și să fie utilizat de clienții actuali și noi.”
CCleaner este o aplicație Windows lansată în 2004. În cea mai mare parte a vieții sale, aplicația a fost administrată de Piriform, o companie pe care Avast a achiziționat-o în iulie 2017.
Aplicația a început ca un „curățător de registrii”, un tip de aplicație care elimină intrările vechi din Registrul Windows după ce utilizatorii au dezinstalat aplicații vechi, în efortul de a reduce dimensiunea Registrului și de a îmbunătăți viteza de operare a Windows.
Aplicația a evoluat de-a lungul anilor și acceptă acum o mulțime de alte funcții, precum eliminarea fișierelor temporare sau vechi lăsate în urmă de alte aplicații, efectuarea de actualizări automate pentru alte aplicații și chiar blocarea trackerelor de anunțuri, printre multe altele.
Avast susține că aplicația a fost descărcată de peste 2,5 miliarde de ori și are 435 milioane de utilizatori în 68 de țări.
Acest succes a apărut în ciuda faptului că experții Microsoft și cei in securitate au recomandat cu fermitate ca utilizatorii sa nu folosească aplicații de curățare a rigistreior, deoarece majoritatea fac mai mult rău decât bine.
Dar tocmai acest succes i-a adus pe hackeri să bată pe ușa lui Piriform. În aprilie 2017, chiar înainte de achiziția Avast, un grup de hackeri chinezi sponsorizați de către stat au spart rețeaua Piriform prin intermediul unui cont TeamViewer, au căutat serverele de distribuție CCleaner și apoi au lansat o actualizare CCleaner infectata cu malware.
Acest malware, cunoscut sub numele de Floxif, a funcționat ca un scaner de bază, colectând informații despre gazdele infectate și trimitând informațiile înapoi hackerilor chinezi.
Hackerii vizau computere instalate pe rețelele mai multor companii majore de tehnologie, precum Cisco, Microsoft, Google, NEC și altele. Aceste computere au primit o a doua tulpină de malware mai puternică, care a funcționat ca un backdoor în rețelele compromise.
Avast a declarat că 2,27 milioane de utilizatori au primit actualizarea CCleaner modificata în 2017; 1.646.536 de computere au fost infectate cu troianul Floxif din prima etapă; dar doar 40 de computere au primit backdoor-ul mai puternic.
Acum Avast a dezvăluit un al doilea hack. De această dată, hackerii au încălcat propria rețea Avast, în timp ce compania a migrat CCleaner către infrastructura sa în urma hack-ului din 2017. La fel ca ultima dată, hackerii au căutat să compromită din nou CCleaner.
Avast a spus că hackerii au compromis acreditările VPN ale unui angajat pentru a accesa un profil VPN temporar care a rămas activ și fără protecție 2FA. Acesta a fost punctul lor de intrare în rețeaua Avast.
Compania continuă să investigheze această a doua încălcare, dar a spus că hackerii nu au reușit să distribuie pana acum o versiune modificata a CCleaner.
În timp ce Avast s-a abținut să atribuie atacul oricărui actor amenințător, Serviciul Ceh de Informații de Securitate (BIS), serviciul de informații al țării, a declarat într-un comunicat de presă că hackerii chinezi au fost în spatele acestui atac, la fel ca în primul.