Aktifitas serangan ditemukan di jaringan Piriform, tapi tidak di PC pelanggan
Menyusul insiden yang terjadi pada CCleaner tahun lalu, kami terus menyelidiki apa yang terjadi dan perkembangan terkini atas penyelidikannya telah kami bagikan kepada publik pada Security Analyst Summit. Secara ringkas, pada 18 September 2017, kami mengungkapkan bahwa CCleaner tengah menjadi sasaran penjahat siber untuk mendistribusikan malware melalui file instalan. File instalan yang mereka modifikasi telah diunduh 2.27 juta pelanggan CCleaner di seluruh dunia. Sementara itu, malware-nya berhasil meyusup ke dalam build server Piriform, perusahaan yang mengembangkan Ccleaner, antara 11 Maret dan 4 Juli 2017, atau sebelum perusahaan diakuisisi Avast pada 18 Juli 2017.
Malware tahap pertama diprogram untuk mengumpulkan informasi yang tidak sensitif dari pengguna Ccleaner, seperti nama komputer, perangkat lunak yang ada di dalam dan daftar proses yang berjalan. Pada tahap ini, malware berhasil mengunduh bilangan biner atau program untuk serangan tahap kedua ke dalam 40 PC, dari berjuta-juta yang terinfeksi malware tahap pertama. Fakta ini menunjukkan bahwa tahap pertama merupakan serangan yang sangat tertarget. Sampai sekarang, kami belum menemukan adanya bilangan biner untuk serangan tahap ketiga. Namun, ada bukti aktivitas yang mengindikasikan akan ada serangan teresebut berserta kemungkinan bentuk serangannya.
Untuk melenyapkan ancaman yang beroperasi dari jaringan Piriform, kami melakukan migrasi terhadap jaringan tersebut ke infrastruktur Avast, mengganti semua perangkat keras dan memindahkan semua staf Piriform ke sistem teknologi informasi (TI) internal Avast. Semenara itu, kami mengkonsolidasikan dan memeriksa infrastruktur dan komputer-komputer Piriform, dan menemukan program versi pertama dari malware tahap pertama dan kedua. Kami pun menemukan alat (tool) berspesialisasi bernama ShadowPad yang disusupkan oleh kelompok penjahat siber tertentu ke dalam empat komputer milik Piriform.
ShadowPad adalah sebuah platform serangan yang disusupkan penjahat siber ke dalam jaringan komputer korban untuk mendapatkan kemampuan kontrol jarak jauh dan platform semacam ini telah dianalisa di masa lalu. ShadowPad terinstal di empat komputer Piriform pada 12 April 2017 yang dilanjutkan pemasangan tahap kedua pada 12 Maret 2017.
Versi lama dari malware tahap kedua terkoneksi ke server CnC. Namun, server sudah tidak berfungsi saat kami memeriksa komputer-komputernya, sehingga keyakinan 100% tentang apa yang telah diunduh tidak bisa diperoleh. Namun, melihat waktu kejadiannya, kami beransumsi bawa ia berfungsi menginstal ShadowPad pada keempat komputer tersebut. Petunjuk lain yang membawa kami pada asumsi bahwa ShadowPad dibuat kelompok peretas China, Axiom, sehingga ada kemungkinan besar bahwa mereka merupakan kelompok di balik serangan terhadap CCleaner. Hubungan antara Aksioma dan serangan terhadap CCleaner pertama kali ditemukan oleh peneliti keamanan Constin Raiu.
Plugin ShadowPad ditemukan di PC milik Piriform
Kami juga menemukan file log ShadowPad yang berisi keystroke (tekanan tombol) terenkripsi dari keylogger yang terpasang di komputer. Kami menemukan bahwa log keylogger dienkripsi dengan ID volume dari hard drive, sehingga ShadowPad dapat mendekripsi setiap tombol keyboard yang ditekan. Keylogger ini telah aktif sejak 12 April 2017, merekam setiap tombol yang ditekan pada komputer, termasuk keylogs dari Visual Studio dan program lainnya. Data log menunjukkan bahwa keylogger masih aktif saat penelitian dilakukan dan versi ShadowPad ini dibuat custom-built, sehingga kami yakin bahwa ia sengaja diprogram khusus untuk komputer-komputer di Piriform.
Dengan ShadowPad, penjahat siber bisa mendapatkan kendali penuh terhadap sistem dari jarak jauh sambil mengumpulkan kredensial dan pengetahuan tentang operasi pada komputer yang ditarget. Selain keylogger, ditemukan alat-alat (tools) lain pada keempat komputer tersebut, diantaranya pencuri password dan alat yang berfungsi menginstal perangkat lunak dan plugin lain.
ShadowPad terpasang di jaringan Piriform dan, sejauh yang bisa kami tahu berdasarkan investigasi yang kami lakukan sampai hari ini, ia tidak dipasang di komputer pelanggan CCleaner mana pun, namun kami yakin bahwa tahap ketiga ditujukan untuk pelanggan CCleaner. Ccleaner telah diunduh 2.27 juga pelanggan pribadi dan korporasi, namun penyerang hanya memasang program tahap kedua pada 40 PC yang dioperasikan perusahaan teknologi dan telekomunikasi. Kami tidak menemukan sampel yang menunjukkan kemungkinan dibuatnya program tahap ketiga, dan tidak jelas apakah penyerang berniat untuk menyerang kesemua 40 PC atau hanya sebagian, atau sama sekali tidak bermaksud menyerang komputer-komputer tersebut. Kami masih menyelidiki data yang kami ambil dari komputer-komputer tersebut, dan akan mengumumkan hasilnya segera setelah kami belajar lebih banyak.