אינטזר הישראלית: ייתכן והפריצה ל-CCleaner מקורה בסין

חברת intezer הישראלית מפרסמת דו"ח מחקר על הפריצה לתוכנת CCleaner ומעלה חשש כי ייתכן ומדובר בהאקרים שמקורם בסין. לפני שצוללים למחקר של אינטזר, רצוי לקרוא את הפרסום של צוות TALOS בסיסקו שחשף את הפרשה.

על פי תאלוס, בעוד בתחילה חשבו כי מדובר בהתקפת מאסה של מאות אלפי קליינטים בעולם, חקירה ממוקדת יותר חשפה כי התוקפים למעשה חיפשו להגיע למספר חברות גדולות, מסוימות מאד, כולל סיסקו. כלומר, מדובר בתקיפה מאסה לצורך הסוואה של תקיפה ממוקדת (אפשר להקביל זאת למבנה בובות בבושקות או רעיון מתחום תקשורת הרדיו בשם spread-spectrum).  

מדובר בכ-20 חברות בינהן סיסקו, סוני, סמסונג, מיקרוסופט, אינטל, HTC וסינגטל. לפי תאלוס, נפגעו לפחות 862000 קליינטים בתקיפה. כמו גם 540 מערכות ממשלתיות ברחבי העולם.

המחקר של אינטזר נעזר ב-Costin Raiu מקספרסקי. קוסטין גילה קשר ראשוני בין המטען של ההתקפה לבין קבוצת APT17 [ידועה גם כ-Operation Aurora]. אינטזר המשיכו את התזה ובדקו את הקוד. ואכן נמצאו קטעי קוד זהים בין המטען האחרון לבין מטענים קודמים של הקבוצה.  מחקר עמוק יותר גילה לאינטזר כי הקוד מבוסס על הטמעה ייחודית של base64 שאופיינית רק לקבוצה זו.

Operation Aurora התחיל ב-2009. אינטזר מציינים כי אם עדיין רואים אותם פעילים ב-2017, המשמעות היא שייתכן והם ביצעו מספר תקיפות על שרשרת אספקה כמו זו. חלק מההתקפות הקודמות של הקבוצה מיוחסות ליחידת Unit 61398 של הצבא הסיני.

האתגר: הזרקה לזיכרון

מהדו"ח של אינטזר עולה כי אחת הבעיות העולות מהתקפה זו היא היכולת לאבחן הזרקת קוד בזיכרון לתהליך לגיטימי במערכת ההפעלה. במקרה זה, התוקפים פרצו לשרת התוכנה הלגיטימית CCleaner  והשתילו גרסה מזוהמת של היישום שהופץ למאות אלפי לקוחות. ברגע שהלקוח הפעיל את התוכנה הלגיטימית, היא עשתה הזרקת זיכרון לתהליך מערכת אחר.

הזרקת קוד לתהליך אחר בזיכרון הוא תהליך ידוע של כלי תקיפה כדי להתחמק מתוכנות הגנה. הפעם, התוקפים הוסיפו עוד הליך כדי להקשות, והוא למחוק את ההדר של קובץ ההתקנה לאחר הזרקת הקוד. בצורה כזו, כלי ההגנה אפילו לא יודעים שמדובר בקובץ הרצה.

בעיה נוספת שעולה מהתקפה זו היא היכולת של חברות המפיצות תוכנה לוודא שהתכנה שלהן לא מזוהמת. מה שקרוי בעגה מקצועית ניהול ואימות הפצות. נכון להיום אין כמעט כלים כאלו בנמצא. במקרה הנוכחי חברת אווסט , מפיצת CCleaner , אפילו לא ידעה שהגרסה שיש לה בשרת ההפצות מזוהמת עם דלת אחורית. אם היה לה פתרון שמאפשר השוואה בין הגרסה בשרת הבניה של התוכנה לבין שרת ההפצה, אולי היה אפשר לעלות על זה מבעוד מועד.

אין ספק כי ההתקפה על CCleaner צריכה להאיר את הצורך בפתרונות סריקת קבצים בזיכרון ובניהול הפצות תוכנה. פתרונות שאם יהיו נפוצים וזמינים, יכולים לסכל חלק ניכר מהתקפות שרשרת האספקה.

אולי יעניין אותך גם