Avast veröffentlicht weitere Details zum CCleaner-Hack

Avast hat über die neu gewonnenen Erkenntnisse aus seinen Untersuchungen des Angriffs auf das weit verbreitete System-Tool CCleaner berichtet. Gestern hatte sowohl das Unternehmen, das seit einigen Wochen durch den Kauf des Entwicklers Piriform in den Besitz von CCleaner gelangte, ebenso wie weitere Sicherheitsspezialisten über Funktion der in CCleaner eingeschleusten Malware und Erkennungsmerkmale einer Infektion informiert. Im aktuellen Bericht stehen zusätzliche Erkenntnisse aus der Untersuchung des Kontrollservers der Hintermänner im Mittelpunkt.

Obwohl der Angriff rund einen Monat durchgeführt wurde, bevor er nahezu zeitgleich und unabhängig voneinander vom Sicherheitsunternehmen Morphisec und Ciscos mit IT-Sicherheitsforschung befasster Sparte Talos entdeckt wurde, fanden sich auf dem beschlagnahmten Kontrollserver nur Log-Files, die rund vier Tage zurückreichten. Ihnen konnte zunächst eine Liste mit Technologie- und Telekommunikationsunternehmen in Deutschland, Japan, Taiwan und den USA entnommen werden, die das eigentliche Ziel der Angriffe waren, für die in einer Vorstufe die mit der Backdoor infizierte Version von CCleaner ausgeliefert wurde.

Diese Liste muss nun erweitert werden: auch vier weitere Domains die zwei Firmen gehören, wurden angegriffen. Deren Namen nennt Avast nicht. Das weitere Firmen angegriffen wurden ist wahrscheinlich: Die Kommentaren zu den gefundenen Skripten erwähnten Ziel-Domains sind offenbar regelmäßig geändert worden.

Die in CCleaner eingeschleuste Backdoor ist äußerst vershcachtelt aufgebaut, um eien Entdeckung zu erschweren (Grafik: Avast)

Dass den Ermitteln lediglich Logs über vier Tage in die Hände fielen ist eher Zufall: Die Angreifer haben die früheren Daten nicht gezielt gelöscht, sondern taten dies, weil sie offenbar einen Einstiegserver verwendet haben, der nicht genug Speicher hatte. Daher stürzte die Datenbank ab, in der die von den infizierten Versionen von CCleaner gesammelten Daten gespeichert werden sollten. Die Angreifer loggten sich kurz darauf ein und löschten wahllos Logs, offenbar in der Hoffnung, dadurch genügend Speicherplatz frei zu machen. Wenig später wurde die Datenbank neu aufgesetzt, um das Problem zu beheben.

Spekulationen zur Herkunft der Angreifer

Die Herkunft der Angreifer liegt nach wie vor im Dunkeln. Zwar gibt es Indizien, die nach China weisen, die könnten aber bewusst hinterlassen worden sein, um eine falsche Fährte zu legen. Sicherheitsforscher Costin Raiu von Kaspersky Lab hat offenbar Code gefunden, der sowohl in der in CCleaner eingeschleusten Malware als auch in der älteren Malware “Aurora” vorkommt. Letztere wird einer chinesischen Hackergruppe zugeordnet.

Ausgewähltes Whitepaper

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Diese Vermutung untermauert die Tatsache, dass zumindest bislang keine chinesischen Firmen als Angriffsziele bekannt sind. Auch dass die Zeitzone in den PHP-Skripten, die zum Befüllen der Datenbank geschrieben wurden, China zugeordnet werden kann, ist ein Hinweis. Dass auf den Kontrollserver mehrmals von IP-Adressen in Japan zugegriffen wurde, sehen die Forscher nicht als Widerspruch: Wahrscheinlich wurden dafür anderweitig infizierte Maschinen Unbeteiligter benutzt. Eindeutig bestimmt ist die Herkunft der Angreifer jedoch längst noch nicht.

Einen zunächst befremdlichen Fakt stufen die Ermittler inzwischen schlicht als Fehler ein: In der Liste der Angriffsziele fand sich auch die Niederlassung eines koreanischen Konzerns in der Slowakei. An der hatten sie aber wahrscheinlich kein Interesse. Vielmehr dürfte es sich um eine Verwechslung handeln: Anstatt der korrekten Domainendung .kr (für Südkorea) ist wahrscheinlich die der Slowakei zugeordnete und in dem Fall falsche .sk angegeben worden.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

16 Stunden ago

SoftwareOne: Cloud-Technologie wird sich von Grund auf verändern

Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.

16 Stunden ago

KI-basierte Herz-Kreislauf-Vorsorge entlastet Herzspezialisten​

Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.

16 Stunden ago

IBM sieht Nachhaltigkeit als KI-Treiber

Neun von zehn deutschen Managern erwarten, dass der Einsatz von KI auf ihre Nachhaltigkeitsziele einzahlen…

21 Stunden ago

Wie KI das Rechnungsmanagement optimiert

Intergermania Transport automatisiert die Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.

2 Tagen ago

Zukunft der europäischen Cybersicherheit ist automatisiert

Cyberattacken finden in allen Branchen statt, und Geschwindigkeit und Häufigkeit der Angriffe werden weiter zunehmen,…

2 Tagen ago