Foto: derStandard.at/Pichler

CCleaner: Hack war Spionageattacke gegen große Tech-Konzerne

21. September 2017, 11:20

Betroffene sollen PC neu aufsetzen – Cyberkriminelle hatten interne Netze von Google und Co. im Visier

Vor kurzem ist bekannt geworden, dass die Windows-Version (32 Bit) der beliebten Software CCleaner über mehrere Wochen mit Malware infiziert war. Das Freeware-Programm bietet etwa Schnellzugriff auf die Programmverwaltung von Windows, die Entfernung obsoleter Registry-Einträge oder das automatische Ausmisten von nicht mehr benötigten Browser-Cookies und soll damit auch zum Schutz der Privatsphäre beitragen.

Installiert worden ist sie auf über 700.000 Rechnern, erklären die Forscher von Ciscos Talos Security, die den Vorfall aufgedeckt haben. Die Cyberkriminellen hatten aber offenbar nicht geplant, massenhaft Daten von allen Opfern abzuzapfen, sondern sollen es gezielt auf die Netzwerke von Techfirmen abgesehen haben, schreibt Wired.

IT-Konzerne im Visier

In einer Kopie der Inhalte des Servers, mit welchen der mit CCleaner mitgelieferte Trojaner kommunizierte, wurden Beweise gefunden, dass die Verantwortlichen versuchten, ihre Opfer zu filtern. Man suchte nach Rechnern in Netzwerken von zumindest 20 IT-Firmen wie Google, Intel, Microsoft, Samsung, Sony und auch Cisco selbst.

In etwa der Hälfte der Fälle soll es tatsächlich gelungen sein, einen Unternehmensrechner aufzuspüren und über die eröffnete Hintertür weitere Schadsoftware einzuspielen. Weil die Angriffsliste, die man gefunden hat, wahrscheinlich "abgeschnitten" ist, könnte es noch weitere Ziele gegeben haben.

Spurensuche

Man geht daher davon aus, dass es sich um einen Fall von Industriespionage handelt. Man habe die betroffenen Unternehmen davon in Kenntnis gesetzt. Unklar ist, ob es sich um einen Angriff durch staatlich unterstützte Hacker handelt. Die eingesetzte Malware verfüge über Code, der auch in Schadsoftware der Hackergruppe Group 72/Axiom zum Einsatz kommt. Die Sicherheitsforscher von Novetta bezeichnen diese als Handlanger der chinesischen Regierung.

Cisco selbst wiegelt allerdings ab und erklärt, dass die Wiederverwendung von Programmcode keinen definitiven Zusammenhang begründet. Auch, dass eine Konfigurationsdatei des Servers eine chinesische Zeitzone definierte, sei dafür nicht ausreichend.

Forscher empfehlen, Backup einzuspielen

Wer die betroffene Version von CCleaner (32-Bit, 5.33), die zwischen dem 15. August und 12. September angeboten worden war, im Einsatz hatte, solle sicherheitshalber seinen Rechner mit einem Backup wiederherstellen.

Da die Integrierte Malware möglicherweise andere Schadsoftware nachgeladen hat, ist das Löschen der Software oder ein Update auf die neue, bereinigte Ausgabe keine Garantie dafür, sich des Problems entledigt zu haben. Piriform hat nach Version 5.34 nun auch 5.35 nachgericht, die durch neue digitale Signaturen besser vor Fremdeingriffen geschützt sein soll. (gpi, 21.09.2017)