CCleaner, populární "čistič" počítačů, vlastněný společností Avast, se stal šiřitelem malwaru. Podle zjištění služby Cisco Talos Intelligence byly instalační balíčky CCleaneru verze 5.33.6162 a CCleaner Cloudu verze 1.07.3191 na oficiálním distribučním webu společnosti nakažené dvoufázovým malwarem.

Instalace samotná obsahovala jenom malý kód, který měl stáhnout vlastní malware. Podle vyjádření autora CCleaneru k žádnému většímu rozšíření malwaru nedošlo, dotknout se mělo údajně tří procent uživatelů. K využití unikátní příležitosti zneužít informace z milionů počítačů nakonec nedošlo, protože služba Talos Intelligence získala kontrolu nad doménami, ze kterých měl být škodlivý software v CCleaneru ovládán.

Avast/Piriform o roli Talosu v celé záležitosti mlčí. To je dost zvláštní, nezvyklé a nezdvořilé s ohledem na to, jak obrovské riziko skupina odborníků společnosti Cisco eliminovala. Avast ani Piriform, který Avast koupil letos v červenci, navíc neinformuje o nutnosti aktualizovat nakažený software a případně řešit problémy s potenciálně kompromitovanými počítači ani na sociálních sítích. 

Útok hluboko do firmy

Neznámým útočníkům se dosud nezjištěným způsobem a v dosud nezjištěném rozsahu podařilo nabourat vnitřní systémy vývojářů CCleaneru a vložit do procesu generování instalačního programu vlastní kód. V důsledku toho byl škodlivý kód distribuován oficiálními kanály a s validním digitálním podpisem.

Napadení distribučních bodů populárního softwaru je splněným snem každého útočníka, který chce zasáhnout masu uživatelů. Ještě lepší je z jeho pohledu napadený mechanismus automatické aktualizace, ale tím CCleaner nedisponuje.

Naposledy jsme o tomto typu útoku slyšeli v souvislosti s útokem malwaru NotPetya, který se masově rozšířil na Ukrajině napadenou aktualizací místně populárního účetního softwaru, ale používán je běžně. Obvykle však jde o prostou záměnu souboru uloženého na serveru nebo modifikaci při přenosu, pokud není přenos veden přes HTTPS, ale jenom přes nechráněné HTTP. Že je průnik tak hluboký, že producent útočníkovi malware ještě digitálně podepíše, to běžné nebývá. CCleaner a potažmo Avast tak má z ostudy kabát.

Zbytečná nákaza od zbytečného softwaru

Pokud se potenciálně nakažených uživatelů týče, s trochou jedovatosti lze říct, že jim to patří. Různé "čističe" a "optimalizátory výkonu" počítačů jsou v nejlepším případě takové IT homeopatikum. Jejich existence je způsobena nesmyslnou, ale o to rozšířenější představou, že Windows se časem jaksi svévolně zanášejí a je potřeba je čistit, k čemuž mají sloužit tato udělátka. Jejich vliv na rychlost, spolehlivost a bezpečnost je přitom v lepším případě nulový, v horším záporný.

Programy udělají několik úkonů, které Windows buďto dělají samy, nebo je může uživatel udělat na pár kliknutí (jako vymazání dočasných souborů nebo cookies) nebo na nich v praxi nezáleží (většina různých oprav a optimalizací registrů). Pokud se vám Windows "zanášejí", je to nezodpovědnou instalací různého podivuhodného softwaru a stačí to prostě nedělat.

CCleaner patří k tomto oboru k lepším, protože sice moc nepomáhá, ale aspoň neškodí. Mnoho jeho konkurentů je ve skutečnosti malware sui generis, neboť jejich hlavním cílem je přimět uživatele k tomu, aby si koupil nějakou vyšší verzi, která je sice taky k ničemu, ale dá autorovi vydělat. Nebo alespoň zobrazují otravné reklamy, které si mimochodem stahují data i přes u nás drahý mobilní internet.

Aktualizace: Dnes, 19. září, vydala společnost Avast, která Piriform/Ccleaner vlastní, obsáhlý blogpost, ve kterém se k incidentu vyjadřuje. Podle něj byly systémy Piriformu napadané ještě předtím, než ho Avast koupil. Problém pravděpodobně nezávisle na sobě objevilo Cisco/Talos a společnost Morphisec, která upozornila Avast.

Podle Avastu si infikovanou verzi stáhlo přibližně 2,27 miliónu uživatelů, z nichž většina již aktualizovala na novou verzi, neaktualizovaných je asi 750 000 instalací. Nicméně vzhledem k rychlému zásahu všech zúčastněných instalace infikované verze nepředstavuje nebezpečí, protože řídící servery byly již odstraněny. Napadena byla navíc pouze 32-bitová verze a Ccleaner Cloud.

Krátce ze světa bezpečnosti

Americká vláda se ze svých systémů snaží dostat bezpečnostní software od společnosti Kaspersky. Ta je ruského původu a její zakladatel vystudoval vysokou školu KGB. Sama přitom požaduje od amerických firem data uložená mimo území USA. Konci internetu bez hranic se věnujeme v samostatném komentáři.

Windows 10 Pro nově obsahují subsystém pro Linux. Ten umožňuje na Windows nativně spouštět ELF binárky pro Linux a je určen zejména pro vývojáře. Znamená ovšem i bezpečnostní riziko, protože běžný bezpečnostní a antivirový software s tím nepočítá. Není přitom třeba vyvíjet speciální malware - lze použít klasický malware pro Windows a spouštět ho přes Wine. Tématu se věnuje Checkpoint, který tento attack vektor překřtil na Bashware.