Разъяснение произошедшего и изложение наших следующих шагов по защите клиентов CCleaner.
Сегодня было довольно много новостей о нашем заявлении о том, что продукт Piriform CCleaner был незаконно изменен во время процесса сборки, включив компонент backdoor. Наш первый приоритет - наша приверженность безопасности и безопасности наших миллионов пользователей и поддержка нашего нового партнера Piriform, поскольку они управляют этой ситуацией. Мы понимаем, что, учитывая последнее раскрытие массового нарушения данных Equifax 10 дней назад, потребители и средства массовой информации очень чувствительны, как и должно быть. Таким образом, как только мы узнали об этой проблеме, мы ее заняли и решили. В течение примерно 72 часов после открытия проблема была решена Avast без какого-либо вреда нашим клиентам Piriform. Цель этой статьи - прояснить, что на самом деле произошло, исправить некоторую вводящую в заблуждение информацию, которая в настоящее время распространяется,Avast приобрела Piriform, производителя CCleaner, 18 июля 2017 года, потому что у Piriform есть отличный продукт, замечательные сторонники и пользователи. И мы поддерживаем это сегодня. Мы не знали, что до того, как мы завершили приобретение, плохие актеры, скорее всего, уже начали взламывать системы Piriform. Компромисс , возможно, начался 3 июля - го . Сервер был предоставлен ранее в 2017 году, а сертификат SSL для соответствующей связи https имел отметку времени от 3 июля 2017 года. Мы сильно подозреваем, что Piriform подвергался таргетингу, пока они работали как отдельная компания, до приобретения Avast.Скомпрометированная версия CCleaner была выпущена 15 августа и осталась незамеченной любой охранной компанией в течение четырех недель, подчеркнув сложность атаки. На наш взгляд, это была хорошо подготовленная операция, и тот факт, что она не навредила пользователям, является очень хорошим результатом, что стало возможным благодаря первоначальному уведомлению, которое мы получили от наших друзей в охранной компании Morphisec (подробнее об этом ниже) а затем оперативная реакция команд Piriform и Avast, работающих вместе. Мы продолжаем активно сотрудничать с правоохранительными подразделениями, работая вместе, чтобы определить источник нападения.Вскоре после первоначального объявления была выпущена серия пресс-релизов, но многие подробности о том, что произошло, и влияние на пользователей были допущены. Мы хотели бы воспользоваться этой возможностью, чтобы исправить как можно больше в этой статье.Многие из статей предполагали, что 2 миллиарда пользователей пострадали от дополнительных 5 миллионов в неделю. Это происходит из-за того, что с момента запуска CCleaner он был загружен 2 миллиарда раз с 5 миллионами в неделю, которые в настоящее время загружаются, как представлено на их веб-сайте. Однако это на несколько порядков отличается от реальных затронутых пользователей. Поскольку только два небольших дистрибутивных продукта (32-разрядные и облачные версии, только для Windows) были скомпрометированы, фактическое число пользователей, затронутых этим инцидентом, было 2,27 млн. И благодаря активному подходу к обновлению как можно большего числа пользователей, мы теперь до 730 000 пользователей, которые все еще используют уязвимую версию (5.33.6162). Эти пользователи должны обновляться, даже если они не подвержены риску, поскольку вредоносное ПО отключено на стороне сервера.Avast впервые узнал о возможном вредоносном ПО 12 сентября, 8:35 утра PT от компании Morphisec, которая уведомила нас об их первоначальных выводах. Мы полагаем, что Morphisec также уведомил Cisco. Мы благодарим Morphisec, и мы обязаны особым долгам своим умным людям, которые идентифицировали угрозу и позволили нам пойти по делу смягчения этого. После получения этого уведомления мы немедленно приступили к расследованию, и к моменту получения сообщения Cisco (14 сентября, 7:25 утра по ПТ) мы уже тщательно проанализировали угрозу, оценили ее уровень риска и параллельно работали с законом в США, чтобы должным образом исследовать первопричину проблемы.После этого нарушивший CnC-сервер был снят 15 сентября 9:50 утра PT после сотрудничества Avast с правоохранительными органами. В течение этого времени команда Cisco Talos, которая параллельно работала над этой проблемой, зарегистрировала вторичные домены DGA, прежде чем у нас появилась возможность. С этими двумя действиями сервер был снят, и угроза была эффективно устранена, так как злоумышленник потерял способность доставлять полезную нагрузку.Между тем команды Piriform и Avast также были заняты, обеспечивая быстрое исправление для пользователей CCleaner. Во-первых, мы убедились, что в настоящее время отгружаемая версия (5.34) и предыдущие версии не содержат угрозы - они этого не сделали. Затем мы выпустили исправленную версию 5.33.6163, идентичную 5.33.6162, но с удаленным бэкдором, и подтолкнули эту версию как легкое автоматическое обновление для пользователей CCleaner, где это было возможно, и дальнейшее сокращение числа затронутых клиентов. Мы уведомили оставшихся пользователей как можно скорее перейти на последнюю версию продукта (к сожалению, мы не смогли автоматически обновлять пользователей CCleaner, поскольку бесплатная версия не содержит функции автоматического обновления).Некоторые СМИ предполагают , что затронутые системы должны были быть восстановлены в предварительно августе 15 - го государства или отремонтированные / перестроено. Мы не считаем, что это необходимо. Около 30% пользователей CCleaner также запускают программное обеспечение Avast для обеспечения безопасности, которое позволяет анализировать данные о поведении, трафике и файле / реестре с этих машин. Основываясь на анализе этих данных, мы считаем, что полезная нагрузка второго этапа никогда не активировалась, т. Е. Единственный вредоносный код, присутствующий на машинах клиента, был единственным, встроенным в двоичный файл ccleaner.exe. Поэтому мы считаем, что восстановление поврежденных машин до состояния 15 августа не требуется. По аналогичной логике, компании по безопасности обычно не советуют клиентам переформатировать свои машины после того, как на их компьютере обнаружена уязвимость удаленного выполнения кода.Клиентам рекомендуется обновить до последней версии CCleaner, которая удалит код бэкдор из своих систем. На данный момент пользователи CCleaner 5.33 получают уведомление, в котором сообщается, что они выполняют обновление.Мы глубоко понимаем серьезность ситуации, как и все угрозы безопасности . Мы сожалеем о неудобствах, испытываемых клиентами Piriform. Повторяю, мы принимаем на себя ответственность за нарушение и внедрили следующие действия и меры предосторожности:Сервер был снят до того, как был нанесен вред клиентам.Мы немедленно работали с правоохранительными органами, чтобы определить источник атаки.Мы предприняли несколько шагов для обновления наших клиентов, у которых была затронутая версия программного обеспечения.Мы раскрыли все, что произошло в блоге, когда мы были очищены от этого.Мы перенесли среду сборки Piriform в инфраструктуру Avast и сейчас перемещаем весь персонал Piriform на внутреннюю IT-систему Avast.Мы планируем выпустить больше обновлений по этому вопросу. Мы сделали наш самый высокий приоритет надлежащим образом расследовать этот несчастный инцидент и принять все возможные меры для того, чтобы он никогда не повторился.
Винс Стеклер, генеральный директор
Ondrej Vlcek, технический директор и потребительский бизнес EVP.
---------------------------------------------------------------------------------
Для тех у кого нет перевода приведён перевод статьи.