CCleaner violato: l’hack è ben più grave di quanto previsto

L’hack su CCleaner è, secondo vari ricercatori di sicurezza, ben più grave rispetto a quanto previsto in un primo momento. Gli aggressori, infatti, non intendevano prendere di mira semplicemente i computer degli ignari utenti, fiduciosi della provenienza del software, ma il loro obiettivo era guadagnare i segreti delle firme più importanti del settore tecnologico.

Mercoledì scorso i ricercatori della divisione di sicurezza Talos di Cisco hanno dichiarato che più di 700 mila macchine sono state coinvolte nell’attacco al popolare software di manutenzione per PC. Gli hacker hanno utilizzato le informazioni raccolte dai sistemi infettati per identificare almeno 20 aziende tecnologiche d’alto profilo, fra cui la stessa Cisco. L’attacco vero e proprio è stato condotto in un secondo momento nei confronti di queste società.

Secondo i ricercatori questo “suggerirebbe un esecutore alla ricerca di specifiche proprietà intellettuali di valore”. Oltre Cisco, fra le società coinvolte troviamo nomi del calibro di Google, Intel, Microsoft, Samsung, Sony, HTC e Linksys, così come VMware, Akamai, Vodafone, D-Link e Singtel. I ricercatori di Talos hanno naturalmente contattato tutte le aziende potenziali vittime nell’attacco, informandole della possibile compromissione dei loro sistemi.

“Quanto scoperto aumenta certamente il livello di preoccupazione che abbiamo su questo fenomeno, visto che gli elementi in nostro possesso fanno pensare ad un esecutore ignoto, ma con competenze avanzate”, si legge nella nota. Durante l’attacco il malware potrebbe contattare periodicamente i server command and control del’aggressore trasmettendo a questi ultimi informazioni sensibili, fra cui indirizzi IP, tempi di up, hostname, nomi dominio, ed altro.

“È probabile che queste informazioni siano state utilizzate dagli aggressori per determinare quali macchine avrebbero potuto prendere di mira durante gli stadi finali della campagna. Quando congiunte, le informazioni avrebbero permesso all’aggressore di iniziare un’infezione a più alto livello in modo da essere irriconoscibile e stabile”. Per proteggersi adesso è comunque sufficiente installare le ultime versioni di CCleaner disponibili, fra quelle rilasciate al pubblico.

I ricercatori di Talos sostengono però che rimuovere la versione infetta di CCleaner o aggiornare all’ultima versione non è sufficiente per chi è stato raggiunto dall’attacco “Stage 2”. In questo caso bisognerebbe ripristinare un eventuale backup precedente all’installazione delle versioni del software coinvolte, in modo da cancellare non solo CCleaner ma anche qualsiasi altro malware che quest’ultimo ha fatto attecchire all’interno del sistema.