Nhiều công ty công nghệ lớn bị lây nhiễm mã độc từ CCleaner

Nhóm hacker giấu mặt chiềm quyền kiểm soát máy chủ CCleaner và phát tán phiên bản độc hại đã lây nhiễm trên hơn 20 công ty, tập đoàn công nghệ lớn trên toàn cầu.

Đầu tuần vừa qua, sau vụ việc CCleaner bị hack, các nhà nghiên cứu cho rằng người dùng bị lây nhiễm mã độc chỉ cần tải về phiên bản mới để xóa mã độc. Tuy nhiên, trong quá trình phân tích máy chủ điều khiển (C&C) mà phiên bản CCleaner độc hại kết nối đến, các nhà nghiên cứu thuộc Cisco đã tìm ra bằng chứng cho thấy mã độc đã thực hiện một đợt lây nhiễm thứ hai (GeeSetup_x86.dll), phát tán tới hàng loạt các máy tính trong cùng tên miền nội bộ.

Theo danh sách được cài đặt sẵn của máy chủ điều khiển, cuộc tấn công thứ hai được thiết kế tìm ra máy tính nội bộ trong mạng của các công ty lớn và phát tán mã độc. Các công ty bị tấn công bao gồm:

• Google
• Microsoft
• Cisco
• Intel
• Samsung
• Sony
• HTC
• Linksys
• D-Link
• Akamai
• VMware

Trong cơ sở dữ liệu này, các nhà nghiên cứ tìm thấy danh sách của gần 700,000 thiết bị có chứa cửa hậu (backdoor) từ CCleaner.

Theo các chuyên gia thuộc Kaspersky, mã độc CCleaner có chung mã nguồn với một vài công cụ đã từng được nhóm tin tặc Trung Quốc có tên Axiom sử dụng (hãy còn có tên khác APT17, Group 72, DeputyDog, Tailgater Team, Hidden Lynx or AuroraPanda).

Gỡ bỏ phiên bản CCleaner độc hại không có tác dụng nhiều khi tin tặc đã bắt đầu tấn công nâng cao vào mạng của người dùng. Các công ty bị ảnh hưởng được khuyến cáo sử dụng các bản sao lưu, khôi phục lại toàn bộ hệ thống. Người dùng thông thường đang sử dụng phiên bản CCleaner v5.33.6162 và CCleaner Cloud v1.07.3191 32-bit trên Windows được khuyến cáo cập nhật lên phiên bản 5.34.

THN