По словам Пириформа из Avast, хакеры взломали бесплатное программное обеспечение CCleaner

САН-ФРАНЦИСКО (Рейтер) - Хакеры взломали бесплатное программное обеспечение британской компании Piriform Ltd, которое оптимизирует производительность компьютеров в прошлом месяце, потенциально позволяя им контролировать устройства миллионов пользователей, заявили в понедельник компания и независимые исследователи. САН-ФРАНЦИСКО (Рейтер) - Хакеры взломали бесплатное программное обеспечение британской компании Piriform Ltd, которое оптимизирует производительность компьютеров в прошлом месяце, потенциально позволяя им контролировать устройства миллионов пользователей, заявили в понедельник компания и независимые исследователи

ФОТОГРАФИЯ ФАЙЛА: мужчина держит портативный компьютер, поскольку на нем изображен кибер-код на этой иллюстрации, сделанной 13 мая 2017 года. REUTERS / Kacper Pempel / Иллюстрация / Файловая фотография

По словам Пириформ, более 2 миллионов человек скачали испорченные версии программы Piriform, которая затем позволяла компьютерам получать инструкции от серверов, находящихся под контролем хакера.

Piriform сказал, что работал с правоохранительными органами и отключил связь с серверами, прежде чем какие-либо вредоносные команды были обнаружены. Это произошло после того, как исследователи безопасности в Cisco Systems Inc ( CSCO.O ) и Morphisec Ltd предупредили родительскую компанию Piriform Avast Software о взломе на прошлой неделе.

Вредоносная программа была добавлена ​​в легальное программное обеспечение под названием CCleaner, которое очищает нежелательные программы и рекламные файлы cookie для ускорения работы устройств.

CCleaner - это основной продукт, сделанный лондонской компанией Piriform, которая была куплена в июле пражским Avast, одним из крупнейших в мире поставщиков компьютерной безопасности. На момент приобретения компания заявила, что 130 миллионов человек использовали CCleaner.

Версия CCleaner, загруженная в августе и сентябре, включала инструменты удаленного администрирования, которые пытались подключиться к нескольким незарегистрированным веб-страницам, предположительно для загрузки дополнительных неавторизованных программ, говорят исследователи в области безопасности подразделения Cisco в Талосе.

Исследователь Talos Крейг Уильямс сказал, что это была изощренная атака, потому что она проникла в авторитетного и надежного поставщика таким же образом, как и атака NotPetya в июне на компании, которые загрузили зараженное украинское бухгалтерское программное обеспечение.

«Пользователь ничего не мог заметить», - сказал Уильямс, отметив, что программное обеспечение для оптимизации имеет надлежащий цифровой сертификат, а это означает, что другие компьютеры автоматически доверяют программе.

В своем блоге Piriform подтвердил, что две программы, выпущенные в августе, были скомпрометированы. Он посоветовал пользователям CCleaner v5.33.6162 и CCleaner Cloud v1.07.3191 загрузить новые версии. Представительница сказала, что 2,27 миллиона пользователей загрузили августовскую версию CCleaner, в то время как только 5000 пользователей установили скомпрометированную версию CCleaner Cloud.

Piriform сообщила, что Avast, ее новая материнская компания, раскрыла атаки 12 сентября. В тот же день была выпущена новая бескомпромиссная версия CCleaner, а 15 сентября была выпущена чистая версия CCleaner Cloud.

Только облачная версия может быть обновлена ​​автоматически, чтобы удалить плохой код.

Характер кода атаки предполагает, что хакер получил доступ к машине, на которой создавался CCleaner, сказал Уильямс.

CCleaner не обновляется автоматически, поэтому те, кто установил проблемную версию, должны будут удалить ее и установить новую версию, сказал он.

Он также порекомендовал запустить антивирусную проверку.

Уильямс сказал, что Талос обнаружил проблему на ранней стадии, когда хакеры, по-видимому, собирали информацию с зараженных машин, а не заставляли их устанавливать новые программы.

Piriform заявил в пресс-релизе, что он работал с правоохранительными органами США, чтобы закрыть сервер, расположенный в Соединенных Штатах, на который должен был быть направлен трафик.

В нем говорилось, что сервер был закрыт 15 сентября «до того, как был причинен какой-либо известный вред».

Avast ничего не сказал о нарушении, ничего не разместив на своем аккаунте в Twitter через 12 часов после объявления и ничего не отобразив на своей главной веб-странице.

В пресс-релизе Piriform и техническом сообщении в блоге не упоминается Cisco или ее партнер Morphisec, вместо этого он приписывает Avast обнаружение все еще необъяснимого компромисса.

После захвата управляющих веб-адресов Cisco увидела 200 000 попыток подключиться к ним.

Дополнительное сообщение Эриком Ошардом во Франкфурте; Под редакцией Джейсона Нили, Дэвида Гудмана и Марси Николсон