Le malware ayant infecté CCleaner semblait avoir plutôt réussi son coup. Au total, plus de deux millions d’utilisateurs ont été concernés par la cyberattaque. Seulement, il semblerait que l’objectif des hackers ne soit pas seulement les données personnelles des utilisateurs. Selon la division de sécurité Talos, de Cisco, les attaquants visaient en fait des entreprises dans le but de leur soutirer des informations. En somme, cela serait une opération d’espionnage industriel.

Après l’infection issue du premier malware, l’équipe de sécurité a remarqué que celui-ci avait en fait installé une porte dérobée permettant d’installer un second malware. C’est le second malware qui a infecté les machines d’entreprise, la backdoor ayant échappé à la division de sécurité. Autre problème, le logiciel malveillant a en fait ciblé précisément au moins vingt entreprises liées au secteur de la tech : Samsung, Google, Microsoft, Sony, HTC ou encore D-Link… Le directeur de la recherche de Talos, Craig Williams explique : « Lorsque nous avons trouvé cela initialement, nous savions qu’il avait infecté beaucoup d’entreprises (…) Maintenant, nous savons que le malware a été utilisé comme un réseau de redirection pour cibler ces [entreprises] dans le monde entier ». Ainsi, le premier malware a seulement été utilisé comme un écran de fumée qui permettait de délivrer le deuxième, inséré plus profondément dans le système.

Bien que Talos n’ait pas publiquement indiqué quelles sociétés étaient touchées, l’entreprise déclare que 50% des tentatives visant à installer le deuxième malware ont fonctionné. Certains acteurs de la technologie auraient été infecté deux fois alors que d’autres ne l’auraient pas été du tout. Maintenant que l’équipe de Talos a repéré la vraie nature de l’attaque, ceux-ci pensent clairement à de l’espionnage industriel. Pour ce qui est des coupables, la sécurité a trouvé des similitudes avec une équipe de hackers du noms de Group 72 ou Axiom, des hackers qui pourraient être en lien avec le gouvernement chinois. Malgré des codes similaires entre le groupe de hackers et les auteurs de la cyberattaque, Talos ne peut dire avec certitude si Group 72 est coupable.

La division de sécurité de Cisco devrait en savoir plus dans les jours à venir.

Source : Engadget