CCleaner a toujours été une solution logicielle très populaire, mais son image de marque a été entachée cette semaine lorsque des experts en sécurité ont révélé l’existence d’une porte dérobée cachée dans une version de l’application. Selon certains observateurs, l’attaque aurait en réalité été orchestrée par des hackers chinois.
En tout, un peu plus de sept cent mille utilisateurs auraient été touchés par l’infection, une infection ciblant les versions v5.33.6162 de l’application et la version v.1.07.3191 de l’édition “cloud” de la solution.
D’après le message publié par Piriform, ces versions auraient été modifiées à l’insu de l’éditeur par un groupe de personnes non identifiées.
CCleaner : une attaque de grande envergure
Ces dernières auraient ensuite utilisé l’outil pour collecter des informations sur les postes de ces milliers d’utilisateurs. Des informations comme le nom des machines ou encore la liste de leurs processus actifs et les adresses Mac des différentes cartes réseau installées sur les ordinateurs.
Ces données auraient ensuite été transmises à une adresse IP et récupérées par les hackers à l’origine de l’attaque. Piriform a bien évidemment contacté la police pour déposer une plainte et l’éditeur a supprimé dans la foulée toutes les versions incriminées de ses serveurs tout en exhortant ses utilisateurs à installer la dernière mise à jour des solutions visées.
Depuis, de nombreuses analyses ont eu lieu. Plusieurs experts ont alors remarqué que les versions touchées par l’attaque ne se contentaient pas de récupérer des informations en lien avec les machines infectées.
En réalité, ces dernières comportaient également une porte dérobée permettant d’installer des malwares et des virus à distance sur les ordinateurs des victimes. Pire, le registre de ces machines avait même été modifié afin de rendre la détection des antivirus inopérante.
Des chercheurs travaillant pour la Kaspersky Lab ont cherché à faire toute la lumière sur cette étonnante affaire et ils ont alors réalisé que le code de CCleaner avait été infecté avant même d’être compilé par l’éditeur. D’après les experts, les hackers auraient donc attaqué en amont l’entreprise afin de pouvoir mettre en place le code malicieux.
Une affaire d’espionnage industriel ?
Compte tenu des techniques employées, les chercheurs pensent donc que l’attaque a été menée par un groupe de professionnels. Mieux, ces derniers ont également trouvé de nombreux points communs entre cette opération et plusieurs attaques menées par un groupe du nom de Axiom, un groupe se faisant aussi parfois appeler APT17, Group 72, Tailgater Team, DeputyDog ou même Hidden Lynx et AuroraPanda.
Originaire de Chine, ce fameux groupe opère depuis plusieurs années et il est spécialisé dans le cyberespionnage.
Plus intéressant, en poursuivant leurs investigations, les chercheurs de Kaspersky ont réalisé que l’attaque avait été spécialement conçue pour cibler des ordinateurs situés au sein des réseaux de plusieurs entreprises comme Google, Microsoft, Intel, Cisco, Samsung, Sony, HTC, D-Link, Akamai ou même VMware.
Compte tenu de tous ces éléments, Kaspersky pense que l’attaque ne visait pas les particuliers et qu’elle avait principalement pour but de récolter des données au sujet de l’activité industrielle de ces entreprises.
Les experts en sécurité de Cisco Talos semblent eux aussi de cet avis.
En analysant un fichier de configuration présent sur le serveur utilisé par les assaillants pour orchestrer leur attaque, ces derniers ont en effet découvert que la machine avait été définie sur le fuseau horaire de la Chine. Ils insistent cependant sur le fait que cette preuve ne suffit pas pour attribuer l’attaque à ce groupe de hackers.