Ricercatori di Cisco hanno scoperto che dietro all‘attacco che ha destato stupore e apprensione nel mondo informatico c’era un gruppo di Cyber-spionaggio denominato Axiom, molto famoso per operazioni simili anche in passato.
Il malware “incluso” nella versione di Ccleaner aveva diverse funzioni: in primo luogo comunicava con un server C&C esterno ove venivano comunicati dati inerenti l’indirizzo IP del computer, MAC address, nome del computer, processi in esecuzione ed installate.
Da questa lista veniva eseguita una “scrematura” da parte dello stesso malware, infatti passava al secondo stage solo in determinate situazioni: infatti si attivava solo in presenza di un nome dominio incluso nella seguente lista
- Singtel
- HTC
- Samsung
- Sony
- Gauselmann
- Intel
- VMWare
- O2
- Vodafone
- Linksys
- Epson
- MSI
- Akamai
- DLink
- Oracle (Dyn)
- Microsoft e Google (Gmail)
Riassumendo il primo stage, quello riferito alla maggior parte degli utenti, ha colpito circa 700 mila utenti, il secondo stage, quello più mirato a determinate compagnie, ha colpito circa 20 computer.
Potenzialmente nel primo stage vi sono anche obiettivi sensibili come banche o istituti finanziari, questo fa comprendere che il malware poteva colpire potenzialmente chi voleva. Avast ha dichiarato che le ricerche di Cisco Talos sono veritiere e che l’azienda si è già attivata con le aziende indicate nella lista per fornire loro assistenza tecnica mirata.
Approfondimenti:Cisco’s Talos Intelligence Group Blog: CCleaner Command and Control Causes ConcernProgress on CCleaner Investigation