L’année dernière, le logiciel de nettoyage CCleaner a subi une attaque massive de malware.
L’attaque a remplacé pendant plus d’un mois la version originale du logiciel par une version vérolée. Plus de 2,3 millions d’utilisateurs qui ont téléchargé ou mis à jour leur application entre août et septembre de l’année dernière ont été infectés.
Il s’avère que les pirates avaient réussi à infiltrer le réseau de l’entreprise cinq mois avant le remplacement de la version de CCleaner. Vlcek a partagé une chronologie et des précisions sur les évènements.
Chronologie
11 mars 2017 – Les attaquants ont d’abord accédé à un poste de travail sans surveillance de l’un des développeurs de CCleaner, qui était connecté au réseau Piriform à l’aide du logiciel de support à distance TeamViewer.
12 mars 2017 – En utilisant la première machine, les attaquants pénètrent un deuxième ordinateur du même réseau et ouvrent une porte grâce au protocole Windows RDP (Remote Desktop Service). Les pirates lachent un logiciel malveillant qui infectera plus tard le registre de l’ordinateur de 40 utilisateurs de CCleaner.
14 mars 2017- premier ordinateur infecté avec ce malware.
4 avril 2017- Les pirates compilent une version personnalisée de ShadowPad, qui permet de télécharger d’autres modules malveillants ou de voler des données.
12 avril 2017- Les pirates installent des données sur quatre ordinateurs du réseau Piriform (sous la forme d’une bibliothèque mscoree.dll) et un serveur de compilation (sous la forme d’une bibliothèque d’exécution.NET).
Entre mi-avril et juillet- Durant cette période, les attaquants ont préparé la version malveillante de CCleaner, et ont essayé d’infiltrer d’autres ordinateurs dans le réseau interne en installant un keylogger sur des systèmes déjà compromis pour voler des identifiants, et en se connectant avec des privilèges administratifs par le biais de RDP.
18 juillet 2017 – La société de sécurité Avast acquiert Piriform, la société de développement de logiciels derrière CCleaner avec plus de 2 milliards de téléchargements.
2 août 2017-Les pirates remplacent la version originale du logiciel CCleaner de son site Web officiel par la version malveillante.
13 septembre 2017-Les chercheurs de Cisco Talos détectent la version malveillante du logiciel distribuée sur le site Web de l’entreprise pendant plus d’un mois, et avertissent immédiatement Avast.
Que fait cette version malveillante?
La version vérolée de CCleaner permettait de voler des données sur les ordinateurs infectés et de les renvoyer à un serveur. Avast, avec l’aide du FBI, a pu fermer le serveur dans les trois jours suivant la notification de l’incident mais le logiciel malveillant CCleaner avait déjà été téléchargé par 2,27 millions d’utilisateurs.
Le logiciel a aussi permis d’infecter 40 ordinateurs spécifiquement sélectionnés et qui étaient exploités par de grandes entreprises internationales (Google, Microsoft, Cisco, Intel, Samsung, Sony, HTC, Linksys, D-Link, Akamai et VMware) comme l’ont découvert des chercheurs chez Cisco’s Talos Group.
