En septembre 2017, Pirifiorm - qui édite CCleaner - avait annoncé la compromission de son célèbre outil de nettoyage et d'optimisation suite à un accès malveillant dans la chaîne d'approvisionnement. L'exécutable principal de la version 5.33.6162 de CCleaner avait ainsi été modifié pour intégrer une backdoor. Seuls des systèmes Windows 32 bits étaient susceptibles d'avoir été infectés.
Si cet incident de sécurité appartient au passé, Avast, la maison-mère de Piriform (le malware avait été introduit dans un serveur de Piriform avant son rachat), n'a pas mis un terme à son enquête pour connaître les techniques et vulnérabilités qui ont pu être exploitées. De nouveaux éléments viennent d'être publiés.
Jusqu'à présent, il avait été déterminé que sur un ensemble de 2,27 millions de machines ayant installé la version compromise de CCleaner, seules des informations basiques et non sensibles avaient pu être recueillies (nom de l'ordinateur, liste des logiciels installés, liste des processus exécutés…).
La charge utile malveillante de premier niveau a permis d'en télécharger une de deuxième niveau sur seulement 40 ordinateurs, et dès lors une attaque très ciblée relevant du cyberespionnage en se basant sur des noms de domaine comme ceux de Akamai, Cisco, D-Link, Epson, Google (Gmail), HTC, Intel, Linksys, Microsoft, MSI, Samsung, Sony ou encore VMware.
Le nouvel élément est une charge utile malveillante de troisième niveau que les attaquants avaient prévu de déployer. Elle n'a toutefois pas atteint des ordinateurs d'utilisateurs concernés par les deux premiers niveaux. Des traces ont seulement été retrouvées sur quatre ordinateurs de Piriform.
En l'occurrence, il est question d'un outil dénommé ShadowPad et connu pour être utilisé par un groupe de cybercriminels à l'accent chinois. Déjà évoqué dans nos colonnes suite à sa découverte par Kaspersky Lab l'été dernier, ShadowPad avait notamment pour objectif selon Avast de permettre aux cybercriminels une prise de contrôle à distance, " tout en recueillant des informations d'identification et des informations sur les opérations sur l'ordinateur ciblé. "
Cette découverte renforce le sentiment selon lequel le groupe de cyberespionnage Axiom serait derrière l'attaque contre CCleaner. Pour Avast, l'enquête n'est toujours pas close. L'environnement de développement de Piriform a de son côté connu une migration dans l'infrastructure d'Avast, avec tout l'ancien matériel remplacé.