Conversamos com um especialista sobre o ataque hacker sofrido pelo CCleaner

Um dos softwares mais utilizados no mundo, o CCLeaner, mais precisamente a versão 5.33, essa semana causou um grande alvoroço na internet com a revelação de que a Piriform, empresa responsável pelo desenvolvimento do software, e que agora pertence a Avast, foi vítima de um ataque hacker que acabou afetando mais de 2,27milhões de usuários.

A revelação do ataque veio a público através da Tallos Intelligence, uma unidade de análise da Cisco. Além do CCLeaner 5.33 o problema também afetou o CCleaner Cloud 1.07. A Avast se pronunciou sobre o caso e liberou updates para ambos os softwares. A do CCLeaner pode ser encontrada aqui. A versão Cloud atualiza de forma automática.

Confira o comunicado oficial da Avast sobre a falha de segurança no CCleaner

Para entender melhor sobre esse caso que ganhou grande repercussão batemos um papo com Eduardo Bernuy Lopes, Gerente de Segurança da Informação da REDBELT.

Eduardo Bernuy Lopes

Eduardo comece explicando como funciona esse ataque ao CCleaner. Foi dito que os cibercriminosos invadiram servidores da Piriforom e plantaram a ameaça que acabou sendo repassada junto com o software. Aconteceu realmente assim?

Foi exatamente dessa maneira que ocorreu o ataque à mais recente empresa adquirida pela gigante de antivírus Avast. Esse tipo de ataque, conhecido como “Supply Chain Attack”, que tem como objetivo atacar o repositório de suprimentos (downloads) está se tornando cada vez mais comum.

O último conhecido foi com o ransomware Nyetya que afetou centenas de organizações na Ucrânia e foi disseminado por meio da plataforma “M.E.Doc”.

Imagine o seguinte cenário: você tem o seu celular que utiliza o sistema operacional Android ou iOs e toda vez que você recebe uma notificação para atualizar o próprio sistema operacional, o que você faz? Clica no botão atualizar, aguarda alguns minutos e pronto, a vida continua.

Em nenhum momento passou pela sua cabeça que aquela atualização poderia conter um vírus ou foi até mesmo um atacante por meio de um “Command and Control” que forçou o seu celular a atualizar, afinal na sua (e nossa) concepção existe a cadeia de confiança entre você achar que tudo o que está vindo do seu Android (Google) ou do iOS (Apple) é seguro.

Os atacantes estão cada vez mais abusando dessa confiança que o usuário final tem com o fabricante, afinal tudo aquilo que vier do fabricante é válido, correto?!

Quem sofreu dessa vez foi a Piriform com o programa CCLeaner, software responsável por realizar manutenções de rotina em máquinas Windows. No dia 13/09, a equipe Cisco Talos notificou a empresa que a versão 5.33 do CCLeaner que estava disponibilizada no próprio site para download possuía um malware com um “Command and Control”, ou seja, podendo ser manipulando pelo atacante.

Não se sabe ainda exatamente como os atacantes conseguiram acesso a esse repositório de download da Piriform, o que se sabe é que essa versão foi colocada no dia no dia 15/08/2017 e a versão nova do CCLeaner (5.34) que não estava infectada, foi disponibilizada no dia 12/09/2017, em algum momento entre essas datas a versão original do 5.33 foi substituída pela a infectada

Após a análise da equipe Cisco Talos, que foi uma das primeiras a identificar esse vírus, constatou-se que as primeiras entradas na base de dados responsável por armazenar as máquinas infectadas continham dados com data de 12 de setembro até 16 de setembro, período da infecção do malware.

O intuito do ataque era realmente colher dados sensíveis dos usuários? Ou havia algum outro propósito?

O que muitos pensaram é que esse malware tinha como objetivo roubar dados de clientes ou até mesmo tornar a máquina deles “zumbis” para realizar outros ataques de DDoS.

Lembra do “Command and Control” que mencione acima? Malwares que possuem esse tipo de “funcionalidade” são receptores de comando, podendo realizar diversas outras atividades.

No dia 20/09, a mesma equipe que descobriu o malware conseguiu “dissecar” o “Command and Control” desse malware e informações extremamente importantes foram descobertas. Mesmo o malware tendo infectado mais de 2 milhões de usuários, o objetivo principal dele não era roubar os dados dessas pessoas ou torná-las máquinas zumbi, e sim roubar dados de pessoas específicas que trabalham para um determinado grupo “seleto” de empresas de TI.

• Singtel Corp
• HTC Group
• Samsung
• Sony
• Gauselmann Group
• VMware
• Intel
• Microsoft
• O2 Uk
• Cisco
• Vodafone
• Linksys
• Epson
• Dvrdns
• Akamai
• Gmail
• DLink

​

Assim que a infecção ocorria o malware coletava algumas informações como nome do usuário, nome da máquina, IP e outros dados, e também informações sobre os processos que estavam rodando na máquina. Com a coleta desses dados, algumas informações eram cruzadas e se desse positivo o algoritmo, um segundo malware era enviado apenas para essas pessoas, realizando uma segunda infecção para a coleta de dados.

Nessa mesma base de dados do malware foi detectado que apenas 20 pessoas receberam esse segundo malware com sucesso. Todas já foram notificadas particularmente sobre a infecção e as devidas ações necessárias.

A pergunta que fica é: qual era o objetivo do atacante para com essas empresas? Se o ataque inicial que infectou 2 milhões de pessoas foi apenas uma ponte para infectar as pessoas que trabalham nessas empresas, dá para calcular o objetivo final do atacante?

Foi confirmado que cerca de 2,27 milhões de usuários foram vítimas dessa ameaça. Rapidamente a Piriform disponibilizou uma nova versão para o software que corrige o problema, mas como de praxe é bem provável que muitos usuários ainda não baixaram o update. É possível que o número de vítimas amplie? 

Se as pessoas não copiaram o CCLeaner infectado para pendrives ou disponibilizaram em novos repositórios de download, acredito que não. Como o “Command and Control” já foi desabilitado e o software removido do site principal da Piriform, acredito que esse número não irá aumentar.

Em sua opinião esse ataque de forma indireta pode “manchar” a imagem da Avast, que agora é a responsável pela Piriform?

Como foi algo indireto, acredito que manchar a imagem de uma gigante como essa não será o impacto principal. Convenhamos que essas duas milhões de pessoas não tiveram seus dados (pelo menos ainda) disponibilizados em fóruns, não tiveram dados apagados de sua máquina ou qualquer outra ação que as prejudicasse… ao meu ver, neste exato momento que lhe escrevo, eles já devem até ter esquecido.

Já para as pessoas desse ramo, é mais uma desconfiança que cria em nossas cabeças!

É bem comum apontar o usuário como o elo mais fraco da corrente da segurança, e que em grande parte são os responsáveis diretos pelas consequências, já que não se atentam aos updates, e outras dicas básicas para proteção. Mas, e o percentual de culpa dos fabricantes, programadores e etc? No ano passado fizemos uma entrevista com um analista da Kaspersky que disse que alguns fabricantes não estão se importando muito com a segurança porque isso “não vende”. Eles estão mais preocupados com outros aspectos.

Como você vê essa questão do descuido do usuário, que é sim algo muito sério, mas também esse aspecto de alguns fabricantes investirem apenas em medidas corretivas, uma corrida contra o tempo após o problema ser descoberto?

Podemos dizer que estamos atualmente no maior auge de “segurança digital” no Brasil e em outros lugares do mundo e mesmo assim diariamente nós identificamos diversas vulnerabilidades em aplicações de empresas, sistemas e plataforma de nuvem.

Sempre ouvimos os dois lados, tantos dos programadores quanto de seus empregadores. Ao meu ver, a grande questão é: desenvolver plataformas e softwares visando todos os aspectos de segurança é demorado, exige tempo e diretamente, sai caro. Seja devido à pressa em disponibilizar a plataforma aos clientes ou simplesmente por mão de obra especializada.

Quanto ao comentário do analista da Kaspersky, concordo com ele. Podemos talvez dizer que a segurança digital é um trabalho realizado “embaixo da terra”, onde ninguém consegue mensurar a importância até sofrer algum incidente, não é algo “palpável” que se pode ver…

Quanto ao usuário final, sim, nós temos que focar muito na conscientização e no perigo das ameaças virtuais, mas também temos grande responsabilidade em tornar a internet um “mundo mais seguro” para eles.