Analitycy z Talos Group, firmy zajmującej się bezpieczeństwem danych, znaleźli dowód na to, że atak na CCleanera ma również drugi, ukryty etap. Polega ona na tym, że niektóre zainfekowane malwarem wbudowanym w chmurową wersję CCleanera komputery, otrzymały zdalnie dodatkowy kod, który uaktywniał właśnie kolejną fazę ataku. Spośród 700 tysięcy (co najmniej) zainfekowanych maszyn, przynajmniej 20 z nich należy do jednej z głównych firm technologicznych (m.in. Microsoft, Sony, VMware, Intel, Cisco, Samsung, HTC). Jeżeli zainfekowana maszyna pracowała w jednej z wymienionych na ilustracji domen, automatycznie była kwalifikowana do drugiej fazy ataku.
Oczywiście liczba 20 absolutnie nie stanowi całkowitej liczby komputerów działających w domenach firm technologicznych, które mogły paść ofiarą ataku. Niezależnie od firmy Talos, eksperci i analitycy z firmy Avast szacują, że liczba komputerów, które kwalifikują się do dalszej fazy ataku idzie w setki. Jest to jak najbardziej możliwe, ponieważ backdoor wbudowany w CCleanera działał przez 31 dni.
Druga faza ataku jest daleko bardziej wyrafinowana. Złośliwy kod korzysta z zupełnie innej sieci sterowania, sam kod jest niezwykle złożony i mocno “zaciemniony”, korzysta z licznych trików utrudniających debugowanie czy emulację – wszystko po to by ukryć swoją funkcjonalność. Craig Williams z Talos stwierdził, że kod zawiera również trzecią fazę ataku – całkowicie bezplikową – w niej kod jest wstrzykiwany bezpośrednio do pamięci zainfekowanej maszyny, na jakimkolwiek nośniku nie pozostaje absolutnie żaden ślad, w pamięci – gdy ta zostanie zresetowana – również. Co więcej Williams uważa, że nie wystarczy usunięcie złośliwego kodu odpowiedzialnego za pierwszą fazę ataku – co można zrobić za pomocą oprogramowania antywirusowego. Kod fazy drugiej jest znacznie lepiej ukryty i jego neutralizacja wymaga sformatowania nośników systemowych zainfekowanej maszyny.
Grupa stojąca za atakiem pozostaje nieznana, jednak analitycy nie mają wątpliwości, że atak na CCleaner to nie odosobniony przypadek. “Ktoś wydał mnóstwo pieniędzy na tak zróżnicowany i bardzo dobrze rozwinięty kod (…) Jest oczywiste, że ktokolwiek to zrobił, używał go już wcześniej, stale go doskonali i wykorzysta ponownie” – dodaje Williams. | CHIP