Hace unos días os hablábamos de como CCleaner estaba distribuyendo el malware Floxif a través de una actualización intervenida por Hackers, por supuesto, los usuarios ya no respiran confianza hacia CCleaner, ni hacia su propietario Avast después de semejante suceso que ha puesto en duda la seguridad de su software.
Hoy Cisco Talos y Kapersky Labs han confirmado la verdadera intencionalidad del ataque a CCleaner, el cual no pasaba por infectar a usuarios domésticos, si no por llegar a equipos de grandes empresas de tecnología en todo el mundo. Básicamente el malware Floxif introducido era una mera distracción para el objetivo real del ataque, ya que Cisco Talos ha descubierto que firmas como Intel, Samsung, Sony, HTC, VMWare, O2, Vodafone, Linksys, Akamai, Oracle, Microsoft, Google y la propia Cisco han sido atacadas, ya que figuraban en el listado de dominios potencialmente atacados que han descubierto al analizar el ataque.
 

 
El análisis del ataque revela que hay dos listas diferentes de equipos atacados, entre los que figura una lista con 700.000 equipos y otra con tan solo 20, datos que se habrían introducido entre el 12 al 16 de septiembre. El dato preocupante es que en esa lista separada con tan solo 20 equipos, figuran todas las firmas de tecnología mencionadas anteriormente y según aseguran, el haber podido acceder a uno de esos equipos puede haber abierto la puerta a que otros equipos de las redes empresariales hayan sido atacados.
En cuanto a posibles “culpables”, todo parece señalar al grupo chino de hackers Axiom/APT17, los cuales basan sus actividades en el ciberespionaje industrial. Según los análisis al parecer se habrían utilizado herramientas comunes de este grupo en los últimos ataques y la configuración horaria del servidor utilizado para recibir la información de los equipos atacados seria en horario chino. Aunque, por el momento tampoco puede asegurarse a ciencia cierta su culpabilidad.
Por si fuera poco, Cisco Talos se ha encontrado que en el listado habría existido información de otros equipos atacados, pero que se habría eliminado previamente con la intención de limitar la información que puede obtenerse de ese servidor analizado.
Las firmas de tecnología mencionadas ahora tienen la difícil tarea de encontrar la extensión real del ataque y encontrar si ha habido un robo de datos en sus equipos. Por su parte, Avast ha confirmado las informaciones de Cisco Talos y Kapersky Labs, además de que esta ofreciendo a las empresas afectadas asistencia técnica para ayudar a atrapar a los atacantes.
Los usuarios domésticos tampoco deberían tomar esta noticia con confianza para estar tranquilos, ya que lo mejor es realizar una limpieza del equipo en busca de malware instalado. Ya que aunque a pesar que no son el principal objetivo del ataque, si es cierto que los PC infectados podrían usarse en Botnets, para minar criptomonedas o para el simple robo de datos si fuera necesario.