CCleaner恶意软件针对Intel、谷歌、微软、Akamai、三星、VMware、思科等20家IT公司发动了攻击

2017 年 9 月 21 日 云头条

成千上万台计算机被一款异常普遍的安全软件的污染版本渗透进来，这根本不会有什么好的结果。而现在，最近这次CCleaner恶意软件大爆发造成的结果到底多糟糕显得一目了然。如今研究人员认为，其背后的黑客不仅一心想大规模感染系统，还一心想从事针对性的间谍活动，企图非法闯入至少20家科技公司的网络。

本周早些时候，Morphisec和思科这两家安全公司透露，CCleaner已被黑客劫持，并植入了一个后门，避开了捷克公司Avast的安全检查机制，CCleaner是该公司销售的一款安全软件。它最后安装到了70余万台计算机上。周三，思科Talos安全部门的研究人员露（http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html），他们现在已分析了黑客使用的那台“指挥与控制”（C&C）服务器，那些恶意版本的CCleaner连接到了这台服务器。

在该服务器上，研究人员找到了证据：这伙黑客企图筛选他们收集的已植入后门的受害者机器，从中找到哪些计算机属于20家科技公司的网络，包括英特尔、谷歌、微软、Akamai、三星、索尼、VMware、HTC、Linksys、D-Link和思科本身。Talos的研究经理克雷格·威廉姆斯（Craig Williams）表示，在其中大概一半的情况下，黑客成功地在上述公司的网络里面发现了他们做手脚的一台机器，然后利用植入的后门，用另一个恶意软件感染系统，这另一个恶意软件旨在充当潜伏更深的立足点，思科现在认为这可能是为了以后从事工业间谍活动。

威廉姆斯说：“最初我们发现这一点后，我们知道它已感染了好多公司。现在我们知道这被用作一张拖网，径直撒向全球各地的这20家公司……以便在有宝贵数据可以窃取的公司获得立足点，很不幸其中包括思科。”

撒下一张大网

思科表示，它从一位参与CCleaner调查的未透露姓名的消息灵通人士那里获得了黑客使用的那台指挥与控制服务器的数字副本。该服务器含有一个数据库，里面列出了每一台已植入后门的计算机：9月12日至16日，这些计算机“联络大本营”，即偷偷连接至黑客的这台服务器。这包括70多万台PC（Avast最初估计中招的PC多达227万台）。但数据库还显示了一批特定的域名，这伙黑客企图将次级恶意软件有效载荷植入到这些域名上，并显示了哪些域名已遭到了这第二次感染。

次级有效载荷总共针对20家公司，不过威廉姆斯特别指出，一些公司被感染的计算机不止一台，而有些公司一台都没有被感染。他拒绝透露哪些目标实际上已被攻陷，不过思科表示，它已提醒所有受影响的公司注意这次攻击。

威廉姆斯还特别指出，思科发现的这份目标清单并不全面；他表示，这份清单似乎已被“裁剪”过了。它原本可能包括其他目标（包括攻击得逞的目标和攻击未遂的目标）：在持续了一个月的攻击活动的早期，黑客企图用次级有效载荷攻击这些目标，那时候CCleaner的污染版本已分发下去。威廉姆斯说：“黑客很有可能通过这次长达一个月的活动来做手脚，而且几乎可以肯定的是，随着他们不断得手，可能攻击更多的公司，这份清单变得越来越长。”

随着深入分析CCleaner攻击，这份目标清单出现了新的变化：原本以为是普普通通的大规模网络犯罪计划，没想到变成了可能是政府撑腰的间谍活动，它先撒下一张大网，然后经过一番筛选，将目标范围缩小到技术行业的某几个受害者。思科和安全公司卡巴斯基都已指出，CCleaner的污染版本中的恶意软件部分使用了与Group 72这个手法老练的黑客团体或Axiom一样的代码，安全公司Novetta在2015年声称Axiom是中国政府撑腰的间谍活动。

思科坦言，光从使用一样的代码无法表明CCleaner攻击与Axiom之间肯定有着联系，更不用说与中国之间肯定有着联系。不过它还特别指出，攻击者使用的那台服务器上的一个配置文件是针对中国时区设置的，同时它仍承认这一点不足以证明中国黑客是元凶。

供应链之祸

在一些公司，其网络上的计算机运行CCleaner污染版本。针对这些公司，思科提醒：发现结果意味着仅仅删除这款应用程序不能保证CCleaner后门并不被用于将第二个恶意软件植入到公司网络上，而那个恶意软件有自己的、仍在为非作歹的指挥与控制服务器。相反，研究人员建议任何受影响的人应当利用安装Avast已污染的安全程序之前的备份版本来恢复机器。威廉姆斯说：“如果你没有通过备份来恢复系统，未清理这个恶意软件的风险很大。”

随着分析工作深入进行，CCleaner攻击造成的具体影响可能需要重新评估。不过在最近震惊互联网的一连串软件供应链攻击中，它俨然是另一起严重的例子。两个月前，黑客劫持了乌克兰会计软件MeDoc的更新机制，分发一款名为NotPetya的破坏性软件，对乌克兰的公司和欧美国的公司造成了巨大破坏。在那起攻击中，与CCleaner攻击一样，受害者从一家备受信赖的小公司那里安装了貌似正当的软件，结果却发现软件已悄悄受到污染，严重感染了它们的IT系统。

在NotPetya袭击之后的那些日子里，安全研究界的许多人士将分析那次攻击的结论由一次犯罪勒索软件大爆发，改为更险恶、更有针对性的攻击，由政府撑腰的黑客一手策划。现在，仍如同谜团的CCleaner攻击似乎同样在朝这个令人不安全的方向发展。