VB2017 Avast のスタッフは木曜日、スペインのマドリードで開催された Virus Bulletin International Conference で講演し、CCleaner の失敗に関する事後分析をさらに明らかにするとともに、開発者に対し、ソフトウェアのツールチェーンと配布システムをハッカーから保護するよう促した。
Windowsマシン上の不要な一時ファイルやレジストリキーを削除する、広く利用されているこのユーティリティが、8月に悪意のあるコードが仕込まれたバックドアを仕込まれたことが判明しました。これは、悪意のある人物がソフトウェアのダウンロードファイルを改ざんし、コードを実行しているPCを遠隔操作する手段を仕込んだというものです。最終的に約230万台のコンピューターにこの不正なバージョンのツールがインストールされ、Intel、VMware、Samsung、NEC、Sonyなどの企業の40社が、コンピューターを乗っ取るための悪意のあるコードをダウンロードするよう指示されました。これは明らかに、高度に標的を絞ったスパイ活動だったようです。
感染したCCleanerビルド(v5.33など)は8月2日から、CCleaner Cloudは8月11日から8月25日まで配布され、マルウェアの実行に使用されたコマンドアンドコントロールサーバーに接続されていました。その後、9月15日にサーバーがシャットダウンされました。シャットダウンは、イスラエルのセキュリティ企業MorphisecがCCleanerの所有者であるAvastにこのスキャンダルを警告してから3日後に発生しました。感染した数百万台のPCのうち、コンピューターを悪意のある攻撃者に引き渡す、真に悪質な第2段階のペイロードを受け取ったのはわずか数台でした。
最近CCleanerをダウンロードしましたか?ああ、大変…マルウェアが詰まっていました
続きを読む
CCleanerの開発元であり、7月にAvastに買収されたPiriformは、9月18日に情報漏洩が公表される5日前の9月13日に、クリーンなバージョンのコードをリリースした。Cisco Talosのセキュリティ研究者は、人気のクリーンアップユーティリティにバックドアコードを独自に発見していた。
裏通路の発見は、攻撃の背後にいるハッカーたちが犯行現場、具体的にはPiriformのインフラから逃走してから約1ヶ月後の木曜日、Virus Bulletinカンファレンスで明らかになった。Avastによる侵入後のフォレンジック分析によると、ハッカーたちは8月25日に「姿を消した」という。なぜその時点で姿を消したのかは不明だ。事後分析を提供したAvastの研究員、ヤクブ・クルステック氏とイジー・ブラチェク氏は、推測を控えている。
PCに注入されたマルウェアには、2014年と2015年に中国政府が支援するハッカー集団APT17(別名Aurora)が開発したサイバースパイツールで見つかったコードに類似したコードが含まれていた。Avastのフォレンジック調査により、CCleanerハッカーによる操作とビルドの作成は北京時間帯の平日中に実行されたことが判明した。
多くの手がかり(Avastが同業他社に開示していないものも含む)は中国を示唆しているものの、これらの調査結果には決定的な証拠は何もない。Avastが現時点で言えることは、ハッカー集団が4月にPiriformのビルドサーバーに侵入したということだ。これは、30人規模のPiriformのリード開発者が、デジタル署名前のコードを生成するために使用していたシステムだった。署名が正規のものだったため、CCleanerをホワイトリストに登録した人は誰でも乗っ取られたことになる。セキュリティソフトウェア企業によるこの侵害されたユーティリティの初期検出がこれほどまでに低かったのも、このためだ。
他のベンダーも同様のサプライチェーン攻撃に注意する必要があるとアバストは警告した。®
