Unbekannte wollten über CCleaner wieder Schadsoftware verteilen

Malware, Ccleaner, Avast, piriform, reinigung Bildquelle: Piriform
Der CCleaner ist dem Anschein nach nur knapp einer erneuten "Schad­code-Katastrophe" entgangen. Das Sicherheitsunternehmen Avast, zu dem CCleaner-Entwickler Piriform gehört, hat verdächtige Angriffe bemerkt und stoppen können. 2017 war es passiert. Die beliebte Systemoptimierungs-Software CCleaner war durch Unbekannte kompromittiert worden und hatte von den Machern der App zunächst einige Zeit unbemerkt Malware "Huckepack" mit auf das System der Anwender gebracht. Damals war der Aufschrei entsprechend groß als Avast bekannt gab, eine Malware entdeckt und beseitigt zu haben. Dieses Mal sind die Unbekannten Angreifer gar nicht so weit gekommen.

Vier Monate versuchte der Angreifer, in das Netzwerk zu kommen

Avast beschreibt in einem Blogbeitrag, was sie taten, als sie die verdächtigen Aktivitäten bemerkten. Die ersten verdächtigen Aktivitäten hat man dabei im Übrigen bereits Mitte Mai aufgezeichnet - die letzten dann am 4. Oktober. Ein Angreifer versuchte also schon seit Mitte Mai über das VPN auf das Netzwerk von CCleaner zuzugreifen. Bemerkt hat es Avast nach eigenen Angaben erst am 23. September.

Dann versuchte man den Angreifern eine Falle zu stellen, um aufzudecken, woher sie kamen. Eingebunden wurden gleich der tschechische Nachrichtendienst BIS, die Cybersecurity-Division der lokalen tschechischen Polizei sowie ein externes Forensikteam.

Anfang Oktober gab es dann einen weiteren Zugriff durch den Angreifer. Durch eine erfolgreiche Rechteerweiterung konnte er dabei nun Domain-Admin-Rechte gewinnen. Das Ermittlerteam fand dabei heraus, dass der Angreifer über kompromittierte Zugangsdaten über ein temporäres VPN-Profil, das keine Zwei-Faktor-Authentifizierung erforderte, auf das interne Netzwerk zugegriffen hatte.

Erst als der Zugangspunkt klar war, konnte Avast auch Gegenmaßnahmen ergreifen. Man ließ entsprechend den Angreifer vorerst gewähren, legte alle anstehenden CCleaner-Releases noch einmal auf Eis und kontrollierte die bereits zur Verfügung gestellten Backups noch einmal auf eventuelle Manipulation.

Offizielles Statement

Entdeckt wurde nichts. Avast schloss das Einfallstor, signierte CCleaner neu und brachte ein automatisches Update an alle Nutzer mit dem neuen Zertifikat heraus.

"Aus den bisher gesammelten Hinweisen wird ersichtlich, dass dies ein extrem ausgereifter Angriffsversuch gegen uns war - mit der Absicht, keine Spuren des Angreifers oder dessen Ziel zu hinterlassen, sowie dass der Angreifer mit äußerster Vorsicht vorging, um nicht entdeckt zu werden", so Avast. "Wir wissen nicht, ob es sich beim Angreifer um den gleichen wie 2017 handelte und wahrscheinlich werden wir dies nie sicher wissen können. Daher haben wir diesen Angriffsversuch "Abiss" (abgeleitet von engl. Abyss / Abgrund) genannt."

Download CCleaner - Reinigt Windows & Registry Download BleachBit - Quelloffene Systemreinigung für Windows Download Wise Registry Cleaner - Säuberung der Registry Malware, Ccleaner, Avast, piriform, reinigung Malware, Ccleaner, Avast, piriform, reinigung Piriform
Diese Nachricht empfehlen
Kommentieren5
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

Tipp einsenden