El hackeo de CCleaner apunta a una campaña de ciberespionaje con miras en grandes empresas

Usuarios de todo el mundo se levantaban sobresaltados al descubrir que CCleaner, una de las herramientas de optimización de recursos más populares, había sido hackeada supuestamente para distribuir malware. La buena noticia es que no tienen nada de qué temer. La mala la han recibido empresas tecnológicas de todo el mundo al conocer que este suceso podría haber sido una estratagema utilizada por ciberespías para infectar sus sistemas de forma discreta.

Investigadores de Kaspersky Labs han examinado el código de uno de los servidores utilizados durante el ataque, descubriendo que el hack utiliza código compartido con otros sucesos protagonizados por un grupo chino conocido por el nombre Axiom, pero también por los apodos APT17, DeputyDog, Tailgater Team, Hidden Lynx, Voho, Group 72 y AuroraPanda según informa BleepingComputer (el motivo de la variedad de nombres es que cada empresa de seguridad utiliza su propia denominación). Cisco Talos, que descubrió el hack en primer lugar, ha corroborado este descubrimiento.

Imagen

Si bien el uso de código compartido no permite asegurar que Axiom/APT17 se encuentre detrás de este suceso, Cisco Talos considera relevante el uso de herramientas comunes. De forma más concreta, existen similitudes concretas entre el malware de CCleaner y un troyano llamado Missl utilizado anteriormente por este grupo de ciberespionaje. El servidor intervenido estaba configurado utilizando la franja horaria china.


Google, Microsoft, Intel, Samsung y otros gigantes en el punto de mira

Igual de interesante es el hecho de que CCleaner no llegó a desplegar el malware Floxif tal y como se creía inicialmente. De hecho, nos encontraríamos ante un indicio falso para despistar a los investigadores. La versión hackeada de CCleaner nunca habría llegado a desplegar este malware o realizar descargas sin autorización en los ordenadores de los usuarios. En su lugar, Cisco Talos ha descubierto en su base de datos restos de infección en 20 sistemas pertenecientes a ocho empresas tecnológicas.

Firmas como Intel, Samsung, Sony, HTC, VMWare, O2, Vodafone, Linksys, Akamai, Oracle, Microsoft, Google e incluso la propia Cisco se encontraban en el listado de dominios potencialmente atacados. Es difícil saber cuántas de estas empresas han experimentado una irrupción en sus sistemas atribuible a Axiom/APT17.

Imagen

Básicamente CCleaner buscó objetivos entre las principales firmas tecnológicas del mundo con dos grandes excepciones geográficas: no hay infecciones en empresas con sede en China ni Rusia.

Cisco Talos fue capaz de encontrar dos tablas en la base de datos del malware, una con 700.000 sistemas y otra con 20. Ambas poseen datos introducidos entre el 12 y el 16 de septiembre. Aparentemente había información anterior, pero habría sido eliminada para "limitar la cantidad de información que podría derivarse del servidor" según ha señalado un empleado de Cisco Talos.

El mayor problema para los administradores de las compañías afectadas es que, aunque el número de sistemas detectado es pequeño, los atacantes pudieron acceder desde estos a cientos de ordenadores distintos. Asimismo, no hay forma de saber cuántos ordenadores llegaron a ser infectados en primer lugar al contar solo con una parte de los registros.

Avast, propietaria de CCleaner, ha corroborado los descubrimientos de Kaspersky y Cisco Talos. Según la firma checa, las 20 máquinas atacadas de las que se tienen constancia estaban situadas en ocho organizaciones distintas, pero el número de sistemas infectados podría ser muy superior. Avast ya se ha puesto en contacto con las empresas afectadas para proporcionarles asistencia técnica y atrapar a los atacantes.

Fuente: Talos
Mejor a las empresas que a los usuarios de casa :-|
DavET está baneado por "Saltarse el ban con un clon"
A ver si espabilan y dejan de usar tales mierdas ... lo mejor es andar sin nada, si tienes win 10 pues el defender ese que trae sin mas, y para navegar, sesiones privadas, vpn, onion y bloqueadores varios ... :)
davoker escribió:Mejor a las empresas que a los usuarios de casa :-|


Depende, esas empresas ofrecen servicios a usuarios particulares yt a grandes empresas, si se han visto comprometidos datos privados el daño ha sido el mismo.
Japp escribió:
davoker escribió:Mejor a las empresas que a los usuarios de casa :-|


Depende, esas empresas ofrecen servicios a usuarios particulares yt a grandes empresas, si se han visto comprometidos datos privados el daño ha sido el mismo.

Peor puesto que afecta a más usuarios.
@davoker Como una de esas empresas sea el banco donde tienes la nómina, o la compañia telefónica que tiene todos tus datos, incluyendo tu número de cuenta, veras que risa XD



Un saludo.
el_ssbb_boy escribió:
Japp escribió:
davoker escribió:Mejor a las empresas que a los usuarios de casa :-|


Depende, esas empresas ofrecen servicios a usuarios particulares yt a grandes empresas, si se han visto comprometidos datos privados el daño ha sido el mismo.

Peor puesto que afecta a más usuarios.


Si, desde luego se pueden haber visto afectados muchos más usuarios, aquellos incluso que no utlizasen esa aplicación. Puede haber sido el mismo daño que si hubiesen infectado directamente nuestros ordenadores, según lo que hayan penetrado en los sistemas de esas compañias.
Al final la solución va a ser entregar a los usuarios sistemas completamente bloqueados, que impidan ejecutar programas o instalaciones fuera de lo que el soporte de la empresa quiera.
Aparte estas empresas que tendrán ataques día si día también no deberían de fiarse de ningún programa pues como se ve cualquier compañia puede ser infectada y pasar todos los procesos que garatizan un cliente limpio de sorpresas.
Y cada día buscan que la gente esté conectada, coches full ONLINE sin ocupantes...no sé yo sigo sin verlo y es más cuanto menos conectado este uno mejor....si esto le pasa a grandes compañias que gastan en seguridad mucho imaginar el resto de usuarios medios.
CCleaner buscó objetivos entre las principales firmas tecnológicas del mundo con dos grandes excepciones geográficas: no hay infecciones en empresas con sede en China ni Rusia


Normal son los que piratean casi todo y sacan los virus, sin olvidarnos de nuestro gran hemano yanquilandia que son los reyes del espionaje.
davoker escribió:Mejor a las empresas que a los usuarios de casa :-|

Cuando alguien realiza un ataque muchas veces busca beneficio económico. ¿Con quién puede sacar más dinero una empresa o un usuario de casa?

mp3xplosion escribió:Al final la solución va a ser entregar a los usuarios sistemas completamente bloqueados, que impidan ejecutar programas o instalaciones fuera de lo que el soporte de la empresa quiera.
Aparte estas empresas que tendrán ataques día si día también no deberían de fiarse de ningún programa pues como se ve cualquier compañia puede ser infectada y pasar todos los procesos que garatizan un cliente limpio de sorpresas.
Y cada día buscan que la gente esté conectada, coches full ONLINE sin ocupantes...no sé yo sigo sin verlo y es más cuanto menos conectado este uno mejor....si esto le pasa a grandes compañias que gastan en seguridad mucho imaginar el resto de usuarios medios.

Totalmente de acuerdo con lo último, cada vez buscan que la gente esté más conectada. Resulta más fácil para ellos controlar a la gente y obtener datos interesantes.

Han llegado a conseguir cierta dependencia de la gente a estar conectada; es más, ya hay generaciones que han nacido conectados.

¿Qué se puede hacer contra esto? Es un tema que podría dar para un gran debate.
@Sr.Sotomonte @Newton @el_ssbb_boy @Japp Vale vale, lo cojo, a empresa tambien es malo es verdad XD
Mi windows es empresa, ahora voy a desinstalarlo... xD
Toda esta noticia me suena a chino o a ruso [hallow]
si en vez de pensar en hacer el mal , pensaran en hacer el bien lo mismo hasta hacian el mundo un poquito mejor. Por optimismo que no quede.


salu2
mp3xplosion escribió:Al final la solución va a ser entregar a los usuarios sistemas completamente bloqueados, que impidan ejecutar programas o instalaciones fuera de lo que el soporte de la empresa quiera.
Aparte estas empresas que tendrán ataques día si día también no deberían de fiarse de ningún programa pues como se ve cualquier compañia puede ser infectada y pasar todos los procesos que garatizan un cliente limpio de sorpresas.
Y cada día buscan que la gente esté conectada, coches full ONLINE sin ocupantes...no sé yo sigo sin verlo y es más cuanto menos conectado este uno mejor....si esto le pasa a grandes compañias que gastan en seguridad mucho imaginar el resto de usuarios medios.


Desde windows xp, se puede configurar windows con una lista de programas (lista blanca o lista negra)
Lo curioso es que ahora el ccleaner me ha pedido actualizar y lo ha hecho de manera automatica, cuando antes no tenia autoupdate, tenías que bajarte la nueva versión de manera manual, el autoupdate deben haberlo incluido en la version última viendo todo el percal del hackeo, a buenas horas lo meten. A mi el programa siempre me ha gustado, sobretodo para limpiar el registro de porquería de vez en cuando.

Y yo tenía una versión anterior a la del hackeo (la 5.32 64bit si mal no recuerdo) y salte luego a la versión corregida, de todas maneras le he pasado el malwarebytes y me sigue saliendo limpio como siempre.
Ya me parecía que había algo raro... [+risas]

Saludos :)
Newton escribió:¿Qué se puede hacer contra esto? Es un tema que podría dar para un gran debate.

Pues empezar a día de hoy en reorientar la inversión en I+D en reforzar la seguridad de los propios sistemas y empezar a educar un poco al usuario de forma que sea una persona hábil con estos avances tecnológicos. No es de recibo que a día de hoy aún tengas usuarios que no sepan distinguir la ventana de una actualización de verdad y un banner flash donde te invita a instalar morralla.

Lo que no tiene sentido es gente totalmente conectada que va pulsando sobre aceptar e instalar a cualquier cosa que no tiene ni idea de lo que es.
Arkhan escribió:
Newton escribió:¿Qué se puede hacer contra esto? Es un tema que podría dar para un gran debate.

Pues empezar a día de hoy en reorientar la inversión en I+D en reforzar la seguridad de los propios sistemas y empezar a educar un poco al usuario de forma que sea una persona hábil con estos avances tecnológicos. No es de recibo que a día de hoy aún tengas usuarios que no sepan distinguir la ventana de una actualización de verdad y un banner flash donde te invita a instalar morralla.

Lo que no tiene sentido es gente totalmente conectada que va pulsando sobre aceptar e instalar a cualquier cosa que no tiene ni idea de lo que es.


No me refería únicamente a los usuarios que se limitan a aceptar e instalar cualquier cosa.

Más bien al usuario medio de EOL que entiende y sabe 'algo' de cómo funcionan las cosas.

Cada vez me da más respeto el estar tan conectado.

Antes podría ser únicamente el ordenador, pero ahora estamos hablando de smartphones, coches, lavadoras, microondas ... demasiadas cosas que creo que NO es necesario que estén conectadas.

Veremos cómo acaba la historía; pero opino que estamos más controlados que hace un par de años.
XboxoX está baneado del subforo hasta el 10/12/2024 09:54 por "flames continuos en las noticias sobre Sony"
No lo uso y como antivirus el defender de windows me va de fabula y me sobra.
La verdadera intención tras la noticia: LOS CHINOS SON LOS NUEVOS MALVADOS DE LA PELICULA. Muchas más noticias mostrando la "maldad" desde China están por venir.
Es normal que lo hagan con las empreseas, sacan mas dinero.

Buen post :) [beer]
De origen comunista es el hackeo


_Saludos
Newton escribió:No me refería únicamente a los usuarios que se limitan a aceptar e instalar cualquier cosa.

Más bien al usuario medio de EOL que entiende y sabe 'algo' de cómo funcionan las cosas.

Cada vez me da más respeto el estar tan conectado.

Antes podría ser únicamente el ordenador, pero ahora estamos hablando de smartphones, coches, lavadoras, microondas ... demasiadas cosas que creo que NO es necesario que estén conectadas.

Veremos cómo acaba la historía; pero opino que estamos más controlados que hace un par de años.


Hace unos meses tuve que cambiar la lavadora de casa, el comercial me intentó vender una Samsung, que iba conectada y que, según me dijo, servía para que me llegara una notificación al móvil cuando la lavadora hubiera terminado el programa, lo que se traducía en 700 napos de lavadora. Y el tío se quedó un poco a cuadros de lo poco que me importó el tema y le dejé claro que no quería esos cacharros, que quería una lavadora de verdad y punto. Y ya no es tener mentalidad de pobre a la hora de comprar esos aparatos, en los que intento gastarme lo menos posible, es que no le veo utilidad alguna.

Básicamente porque esos aparatos conectados no están implementando funciones realmente útiles para muchas personas, como bien puede ser monitorizar el consumo eléctrico. Y luego tienes el tema de la seguridad, que seguro que el firmware de los servicios en línea no lo actualizan ni que los maten y luego tienes un agujero de seguridad en la red local de dimensiones estratosféricas.
24 respuestas