A principios de esta misma semana conocimos que la conocida aplicación de mantenimiento de sistemas Windows, CCleaner, había sido comprometida, cuya versión lanzada el pasado lanzada el 15 de agosto desde sus servidores legítimos, la 5.33, contenía un malware que ha ido actuando en equipos Windows de 32 bits, pensándose que el mismo había estado afectando a una media de unos 5 millones de usuarios por semana.
Pues bien, a partir de entonces, se han ido sucediendo las investigaciones para recabar más información al respecto. En este sentido, acorde a dichas investigaciones llevadas a cabo por Avast y la división de seguridad de Cisco, Talos, ahora podemos conocer que los atacantes no sólo buscaban realizar una infección masiva sino que además pretendían acceder a las redes internas de una serie de firmas tecnológicas más importantes del mundo, incluyendo Microsoft, Akamai, Google, Sony, Samsung, y muchas otras, según se hizo eco inicialmente la publicación Wired.
Para ello, este pasado miércoles analizaron el servidor de mando y control que utilizaron los hackers para introducir la versión maliciosa de CCleaner. Encontraron indicios de que el ataque iba dirigido a una lista de dominios internos pertenecientes a 20 empresas tecnológicas más importantes del mundo.
Acorde a Craig Williams, gerente de investigación de Talos, el ataque masivo había comprometido a máquinas de ocho de las 20 compañías que han sido objetivo del ataque, según corroboró también este pasado jueves la firma afectada, Avast, actual propietaria de CCleaner, a través de un comunicado, estimándose ahora que el número de máquinas afectadas es bastante inferior a la que se pensaba en un primer momento, sobre unas 700.000 máquinas.
Además, los investigadores encontraron en el malware que contenía otro malware integrado de la que desde Cisco creen que iba destinado a servir como punto de apoyo destinado al espionaje industrial. Tanto Cisco como la firma de seguridad Kaspersky encontraron que el malware integrado en la versión afectada de CCleaner contenía código de un grupo de hacking conocido como Axiom de origen chino.
De momento no se ha dado a conocer públicamente quien ha estado detrás de los ataques ni qué pretendían con el mismo, aunque desde Talos creen que detrás podría estar alguien con intereses en una propiedad intelectual.
Los investigadores recomienda que cualquier persona afectada restaure sus máquinas con las versiones anteriores del sistema que dispongan antes de que instalasen la versión afectada de CCleaner. La desinstalación de la versión afectada no elimina la infección.