Malware-Attacke
CCleaner-Hack: Neue Hinweise auf Angreifer und Ziele
Avast nennt neue Details zum CCleaner-Hack: 25 Firmen wurden gezielt angegriffen - auch eine aus Deutschland. Die Malware soll aus Asien kommen.
Nach und nach kommen neue Details zur Hackerattacke auf das beliebte System-Tool CCleaner ans Tageslicht. Nachdem Avast bereits zuvor erklärt hatte, dass die verteilte Malware nicht auf Otto-Normal-Nutzer sondern ausgewählte Firmennetzwerke abzielte, gibt es hierzu nähere Informationen. Denn eine...
Nach und nach kommen neue Details zur Hackerattacke auf das beliebte System-Tool CCleaner ans Tageslicht. Nachdem Avast bereits zuvor erklärt hatte, dass die verteilte Malware nicht auf Otto-Normal-Nutzer sondern ausgewählte Firmennetzwerke abzielte, gibt es hierzu nähere Informationen. Denn eine Analyse des Backups des Command-and-Control-Servers (CnC) der Hacker konnte entnommen werden, welche Unternehmen wirklich attackiert wurden.
Demnach wurde die infizierte CCleaner-Version, die weltweit 2,27 Millionen Mal installiert wurde, nur in 40 Fällen benutzt, um über die Backdoor-Funktionalität weiteren Schadcode auf PCs nachzuladen. Wie Avast in einem aktuellen Blogpost aufzählt, waren die Ziele dabei Rechner von Firmen wie Samsung, Asus, Fujitsu, Sony, O2, Cisco, Intel und Vmware. Auch ein PC im Netzwerk des deutschen Spielautomaten-Herstellers Gauselmann wurde infiziert. Avast hat alle Opfer informiert und mit Hintergrundinformationen zu den Angriffen versorgt.
Insgesamt wurden laut den Log-Analysen auf dem CnC-Server 5.686.677 Verbindungen aufgebaut, über die mit 1.646.536 Rechnern kommuniziert wurde. Aus diesem Pool griffen die Angreifer dann prominente Firmen heraus, um dort gezielte Attacken zu starten.
Hinweise auf Vollzeit-Hacker aus Asien
Doch woher kamen die Angreifer? Avast hatte Hinweise auf einen Ursprung der CCleaner-Attacke in China gefunden. Die Analyse des CnC-Servers verdichtet nun die Hypothese, dass die Hacker aus dem asiatischen Raum kommen könnten. Denn die Angreifer verbanden sich zu gängigen Bürostunden der Zeitzonen UTC +4 und UTC +5 mit dem CnC-Server. Dass an Samstagen und Sonntagen deutlich weniger Traffic zum CnC-Server stattfand, spricht gegen ein Ursprung in einem arabischen Land.
Lesetipp: CCleaner Malware-Gau - was Sie jetzt wissen müssen
Avast vermutet die Angreifer daher in Russland, dem östlichen Mittleren Osten, Zentralasien oder Indien. Für Russland, China und Indien spricht auch, dass keine Firma aus diesen Ländern attackiert wurde. Avast verspricht eine weitere Untersuchung des Vorfalls. Ob die Hacker schlussendlich aufgespürt werden können, bleibt jedoch unsicher.
