CCleaner, il popolare programma freeware di Avast, utile per “ripulire” il Pc da file e dati che non servono più, è finito un’altra volta nel mirino degli hacker. Così era stato nel 2017, quando diversi ricercatori di sicurezza informatica avevano scoperto l’esistenza di backdoor inserite all’interno del codice del programma in seguito a un attacco, mentre i fatti odierni sono stati svelati al pubblico dalla stessa Avast. La software house ceca ha fatto sapere di aver subìto un data breach sulla propria Virtual Private Network interna, operazione probabilmente tesa a infettare il codice di CCleaner con un malware.
Non esistono evidenze sul fatto che gli autori siano gli stessi ma, ha scritto la chief information security officer Jaya Baloo, si è trattato di un tentativo di attacco “chiaramente molto sofisticato, che aveva l’intenzione di non lasciare tracce sull’intrusore e sugli scopi”. L’autore, sottolinea la Ciso, “si è mosso con eccezionale cautela per non essere scoperto”. E in effetti per accorgersi del fattaccio ci è voluto un po’.
Dopo aver rilevato un “comportamento sospetto” sulla rete il giorno 23 settembre, la società ha avviato indagini interne ed esterne, collaborando con forze di polizia locali, agenzie di intelligence ceche e team di forensica per analizzare l’accaduto e raccogliere prove. Prove che, alla fine, hanno dimostrato come l’attacco fosse cominciato già a metà maggio, oltre quattro mesi prima della scoperta.
Stando alle spiegazioni fornite da Avast, l’autore dell’attacco ha ottenuto le credenziali Vpn di un dipendente il cui account non era protetto da autenticazione a più fattori. In seguito, con un’escalation di privilegi l’hacker è riuscito a qualificarsi agli occhi della rete come domain admin. L’azienda madre di CCleaner, una volta accortasi della violazione nel mese di settembre, ha evitato di disattivare il profilo Vpn violato per poter monitorare le azioni dell’autore dell’attacco.
La disattivazione è poi arrivata a metà ottobre, insieme al rilascio di una nuova e sicura versione di CCleaner. Con questa release Avast ha modificato il certificato digitale del programma, così da scongiurare il rischio che eventuali malintenzionati utilizzino il precedente certificato per firmare finti aggiornamenti di CCleaner,