Tin tặc đã xâm nhập vào các máy chủ của công ty nhiều tháng trước khi sự kiện diễn ra và thay thế phiên bản gốc của phần mềm bằng phiên bản độc hại. Avast và Piriform đã xác nhận rằng phiên bản CCleaner v5.33.6162 và CCleaner Cloud v1.07.3191 trên hệ điều hành Windows 32bit đã bị lây nhiễm mã độc.
Diễn biến 6 tháng của cuộc tấn công chuỗi cung ứng
Tháng 7/2017, Piriform - công ty sáng lập ra CCleaner đã được Avast mua lại. Cuộc tấn công xảy ra vào thời điểm tháng 8 - 9/2017. Đại diện Avast đã chia sẻ, đây là sự kiện tồi tệ nhất mà công ty phải hứng chịu về cả cách thức và thời điểm mà tin tặc đã xâm nhập vào hệ thống công ty Piriform.
5h ngày 11/3/2017 theo giờ địa phương, tin tặc đã lần đầu truy cập được vào một máy trạm không được giám sát của một trong những nhà phát triển CCleaner. Máy trạm này được kết nối tới hệ thống mạng Piriform, sử dụng phần mềm điều khiển từ xa TeamViewer.
Tin tặc đã sử dụng lại các chứng nhận ủy nhiệm của nhà phát triển từ những lần vi phạm dữ liệu từ trước đó để truy cập tài khoản TeamViewer và cài đặt thành công mã độc viết bằng VBScript trong lần truy cập thứ ba.
4h sáng ngày 12/3/2017 theo giờ địa phương, bằng việc sử dụng máy trạm đã bị kiểm soát trên, tin tặc đã thâm nhập vào một máy tính không được giám sát khác nằm trong cùng dải mạng. Sau đó, thực hiện cài đặt backdoor thông qua giao thức Windows Remote Desktop Service - RDP.
Ở giai đoạn hai, tin tặc tải lên một mã nhị phân và một payload độc hại để lây nhiễm tới 40 người dùng CCleaner với mục tiêu là registry của máy tính nạn nhân.
Ngày 14/3/2017, tin tặc lây nhiễm thành công mã độc giai đoạn hai trên máy trạm bị thâm nhập đầu tiên.
Ngày 4/4/2017, tin tặc tạo ra một phiên bản tùy biến của ShadowPad - một backdoor cho phép tải xuống các module và payload độc hại hoặc đánh cắp dữ liệu. Piriform nhận định đây là giai đoạn ba của cuộc tấn công.
Ngày 12/4/2017 và một vài ngày sau đó, tin tặc đã cài đặt payload của giai đoạn ba vào 4 máy tính trong hệ thống mạng Piriform.
Từ giữa tháng 4/2017 đến tháng 7/2017, kẻ tấn công chuẩn bị các phiên bản CCleaner độc hại và thử lây nhiễm vào các máy tính khác trong hệ thống mạng nội bộ bằng việc cài đặt một keylogger trên các hệ thống bị thỏa hiệp để đánh cắp các chứng thực và đăng nhập với quyền admin thông qua RDP.
Ngày 2/8/2017, các tin tặc thay thế phiên bản gốc của phần mềm CCleaner từ chính website của công ty bằng phiên bản CCleaner chứa backdoor. Phần mềm chứa mã độc này đã được phân phối tới hàng triệu người dùng.
Ngày 13/9/2017, các nhà nghiên cứu của Cisco Talos đã phát hiện ra phiên bản CCleaner độc hại và báo cho Avast ngay lập tức. Phiên bản CCleaner độc có các payload độc hại nhằm đánh cắp thông tin từ các máy tính bị lây nhiễm và gửi các thông tin đó cho máy chủ điều khiển của kẻ tấn công. Mặc dù được sự giúp đỡ của FBI, trong 3 ngày các máy chủ điều khiển của tin tặc đã bị kiểm soát và ngưng hoạt động. Nhưng phần mềm CCleaner độc hại đã được khoảng 2.27 triệu người dùng tải về.
Hơn nữa, có thể payload độc hại ở giai đoạn hai đã được cài đặt trên 40 máy tính của các công ty công nghệ lớn trên thế giới. Bao gồm: Google, Microsoft, Cisco, Intel, Samsung, Sony, HTC, Linksys, D-Link, Akamai và VMware. Tuy nhiên, chưa có bằng chứng nào về việc backdoor ShadowPad được phân phối đến bất kỳ mục tiêu nào khác.
Avast cho biết: “Cuộc điều tra của chúng tôi tiết lộ rằng ShadowPad đã từng được sử dụng trước đây ở Hàn Quốc và Nga, nơi mà những tin tặc xâm nhập vào máy tính và thực hiện chuyển tiền. Tập tin mã độc này từng được tạo ra năm 2014 trong cuộc tấn công nước Nga, điều đó có nghĩa là nhóm tấn công đứng sau có thể là gián điệp trong nhiều năm.”
Dựa trên việc phân tích sự thực thi của ShadowPad trong hệ thống mạng Piriform, Avast cho rằng mã độc đã nằm tồn tại trong hệ thống mạng Piriform trong một thời gian dài và âm thầm theo dõi các thông tin về công ty.
Mr. 0 (Theo The Hacker News)
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
07:00 | 15/01/2024
Công ty bán dẫn toàn cầu Qualcomm của Mỹ tiết lộ một lỗ hổng nghiêm trọng mới cho phép các tác nhân đe dọa thực hiện tấn công từ xa thông qua các cuộc gọi thoại qua mạng LTE.
07:00 | 15/01/2024
Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024