A fertőzött CCleaner sztori
A népszerű rendszertunningoló alkalmazást, a CCleanert egy hónapon keresztül rejtett utassal együtt telepítették számítógépükre a felhasználók. A még nem bizonyított gyanú szerint a legnagyobb technológiai cégek elleni ipari kémkedésre akarták használni a fertőzött alkalmazást.
Azok, akik augusztus 15. és szeptember 12. között töltötték le és telepítették gépükre a CCleaner népszerű rendszertunningoló alkalmazást, egy potyautast is telepítettek gépükre. A hivatalos oldalról letölthető telepítőcsomag egy kártevőt (Win32.Backdoor.Forpivast.A) vitt magával a számítógépre. A CCleaner 5.3-mas verziója érintett az ügyben, azóta már megjelent a 5.3.5-ös változat is, amely nem tartalmazza a kártevőt. A G DATA vírusvédelmi szoftvereit használók számítógépe védett volt a kártevő ellen.
40 kiszemelt számítógép
A potyautasos CCleaner 2,7 millió számítógépet fertőzött meg, ami, ahhoz képest, hogy az alkalmazást közel két milliárdan használják világszerte, nem is olyan nagy szám. Azonban a valóban megfertőzött számítógépek száma mindössze 40 körüli, és mind óriási technológiai cégek hálózatából kerülnek ki. A támadókat célzottan a Microsoft, HTC, Vodafone, Fujitsu, Samsung, Sony számítógépes hálózata érdekelte csupán. A fennmaradó többmillió számítógépet csak megvizsgálta az alkalmazás, és elküldte a központba az adatait. A technológiai cégek hálózatába tartozó számítógépekre azonban egy másik csomagot is letöltött. Hogy ez pontosan mit is csinált a számítógépeken, még vizsgálják a szakértők.
A történetben rendkívül aggasztó dolog, hogy a támadóknak sikerült egy hivatalosan aláírt, tanúsítvánnyal ellátott programba csempészniük kártevőiket. Ezeket a tanúsítványokat azért állítják ki, hogy megnyugtassák a felhasználókat, hogy az alkalmazás egy megbízható fejlesztőtől érkezik. Elképzelhető, hogy ebben az esetben valahogy ellopták a tanúsítványt, és a fertőzött alkalmazást aláírták vele. Aki hasonló tanúsítvány birtokában van, egy nagyon széles, gyanútlan közönséget képes elérni – az egyedüli védekezés, ha fejlett és frissített vírusvédelmi szoftver védi gépünket.
Még mindig folyik a nyomozás
Újdonságot jelent a támadás forgatókönyve: a támadók több millió gépre jutottak be, ezekből választották ki azt a 40 darabot, amelyek az IP címük alapján a nagy technológiai cégekhez voltak köthetőek. Csak ezeket fertőzték meg egy második, jóval összetettebb kártevővel. Ez a célzott támadás arra enged következtetni, hogy valószínűleg ipari kémkedésre szerették volna használni (vagy használták is) a kártevőt. A nyomozás az ügyben még nem zárult le.