miércoles, 18 de abril de 2018

Los servidores de CCleaner estuvieron 6 meses comprometidos


Como recordarás, el año pasado el popular software de limpieza CCleaner sufrió un ataque masivo de malware en su misma cadena de suministro, ataque por medio del cual se vieron comprometidos los servidores de la empresa durante más de un mes.

En concreto, todo se basó en que sustituyeron la versión original del software por otra maliciosa, algo que afectó a más de 2.3 millones de usuarios que descargaron o actualizaron la aplicación CCleaner entre agosto y septiembre de 2017, todo ello desde el sitio web oficial de la firma. Pues bien, como se acaba de saber ahora, los atacantes se las arreglaron para introducirse en la red de la compañía casi cinco meses antes de que sustituyeran esta versión oficial de CCleaner, algo que se ha revelado en una conferencia de seguridad en San Francisco.

Así, se ha revelado que el ataque del año pasado resultó ser muy perjudicial para la compañía, detallando cómo y cuándo los hackers violaron la seguridad de Piriform, compañía que creó CCleaner y que fue adquirida por Avast en julio de 2017. Pero fue en marzo de 2017 cuando realmente los ciberatacantes accedieron por primera vez a una estación de trabajo de uno de los desarrolladores de CCleaner, la cual estaba conectada a la red Piriform, todo usando el software de soporte remoto, TeamViewer.

Se cree que los atacantes utilizaron las credenciales del desarrollador obtenidas de manera ilícita de datos anteriores para acceder a la cuenta de TeamViewer y así consiguieron instalar malware utilizando VBScript. Tras esto, usando la primera máquina, los atacantes accedieron a una segunda conectada a la misma red y abrieron una puerta trasera a través del protocolo Remote Desktop Service de Windows, cargando un malware que más tarde fue entregado a 40 usuarios de CCleaner.

Semanas más tarde, en abril, estos atacantes mandaron otra carga maliciosa de tercera etapa a cuatro equipos de la red Piriform, mientras que entre mediados de abril y julio, prepararon la versión maliciosa de CCleaner e intentaron entrar en otros equipos de la red para robar credenciales e iniciar sesión con permisos de administrador.

Como también se ha sabido ahora, tras la comprar de Piriform por parte de Avast en julio, no fue hasta el mes de agosto cuando los atacantes reemplazaron la versión original de CCleaner del sitio web oficial por su versión maliciosa que fue distribuida a millones de usuarios.

Como recordarás unos investigadores de Cisco Talos detectaron esta versión maliciosa en el mes de septiembre, lo que se notificó a Avast inmediatamente. Sin embargo, en esos momentos el software malicioso ya había sido descargado por 2.27 millones de usuarios. Lo que ahora muchos se preguntan es cómo es posible que una compañía así esté 6 meses siendo atacada y nadie se dé cuenta de ello.