CCleaner 2017

En septembre 2017, l’équipe de recherche Talos de Cisco révèle que des builds officiels signés de CCleaner — un utilitaire de maintenance Windows détenu par Avast et téléchargé par environ deux milliards de personnes au fil de son histoire — ont été compromis à la source. Les versions 5.33.6162 et 1.07.3191 de CCleaner Cloud, distribuées par les canaux habituels de l’éditeur pendant environ un mois, embarquent une charge supplémentaire qui appelle l’infrastructure des attaquants.

Un entonnoir, pas un déluge

Deux millions trois cent mille installations de CCleaner reçoivent l’implant de première étape. L’implant fait très peu de choses. Il collecte des informations d’identification basiques sur l’hôte — nom de domaine, adresse MAC, nom d’ordinateur — et les transmet à un serveur de commande et contrôle. Le serveur choisit ensuite quel sous-ensemble d’installations est suffisamment intéressant pour recevoir la deuxième étape.

L’intersection se révèle petite et extrêmement spécifique. La charge de deuxième étape est livrée à moins d’une quarantaine d’hôtes à l’intérieur de grandes entreprises technologiques — Cisco, Intel, Microsoft, Samsung, Sony, VMware et d’autres. Les chercheurs concluront plus tard que l’opération est une campagne d’espionnage attribuée au groupe Axiom lié à la Chine, utilisant la compromission massive de CCleaner comme vecteur de livraison pour une liste de cibles étroite.

Ce que la chronique retient

CCleaner a aiguisé la conversation sur la chaîne d’approvisionnement. La divulgation de Talos a rendu clair qu’un attaquant prêt à compromettre un pipeline de build d’éditeur pouvait se déployer sur des millions d’hôtes puis trier silencieusement quelques dizaines — laissant la majorité des victimes apparentes avec rien de plus qu’un implant inutilisé. Le schéma s’est répété, à une échelle bien plus grande, trois ans plus tard avec SolarWinds.