Хакеры, внедрившие бэкдор в популярную утилиту для очистки и оптимизации жесткого диска CCleaner, также пытались атаковать крупнейшие технологические компании, включая Cisco, Singtel, HTC, Samsung, Sony, Gauselmann, Intel, VMWare, O2, Vodafone, Linksys, Epson, MSI, Akamai, DLink, Oracle (Dyn), Microsoft и Google (Gmail).
Первым свидетельства связи между вредоносным кодом, встроенным в CCleaner, и группировкой Axiom заметил специалист «Лаборатории Касперского» Костин Раю (Costin Raiu), который указал на сходство бэкдора в утилите с трояном Missl, используемым в атаках Axiom. Чуть позже исследователи из команды Cisco Talos подтвердили предположение Раю, отметив при этом, что не уверены в причастности Axiom к компрометации CCleaner.
Экспертам удалось получить копии файлов C&C-сервера, включая его базу данных, на который инфицированные версии утилиты отправляли собранную информацию (имя компьютера, список установленного ПО, перечень активных процессов, MAC-адреса и идентификаторы).
После анализа файлов, специалисты пришли к выводу, что предыдущие отчеты о содержавшемся в CCleaner вредоносном ПО Floxif не соответствуют действительности. Как отмечалось ранее, данный вредонос способен загружать и исполнять дополнительную полезную нагрузку, но, по словам команды Cisco Talos, эта функция никогда не использовалась.
В БД C&C-сервера исследователи обнаружили две таблицы, одна содержала информацию о свыше 700 тыс. компьютерах, вторая – о 20 компьютерах, принадлежавших крупным технологическим компаниям, в том числе Samsung, Sony и Akamai.
Записи в таблицах датированы периодом с 12 по 16 сентября нынешнего года. По словам специалистов, злоумышленники выбирали жертв по доменному имени компьютера. Примечательно, что в числе прочих крупных техкомпаний хакеры пытались атаковать и саму Cisco.
