Besmette CCleaner viseert grote technologiebedrijven
CCleaner, een populaire optimalisatietool voor Windows en Android, werd vorige maand geïnjecteerd met malware. Meer dan twee miljoen mensen downloadden de besmette versie van CCleaner. Nu blijkt dat deze grootschalige aanval bedoeld was om erg gericht slachtoffers te maken. De hackers gingen op zoek naar bedrijfscomputers van grote technologiebedrijven, zoals Microsoft, Cisco, Intel en Samsung. Experts spreken van een erg gesofisticeerde aanval.
Snelle aanpak
Piriform, de maker van CCleaner, stelde op 12 september een security-inbreuk vast in de 32-bit Windows-versies van CCleaner 5.33.6162 en CCleaner Cloud 1.07.3191. De CCleaner-versies werden geïnjecteerd met malware die een hacker toestaat om vanop afstand code uit te voeren op een getroffen systeem. Beide updates werden in augustus uitgerold en zouden zo’n 2,27 miljoen keer zijn gedownload.
Piriform en Avast, de huidige eigenaar van CCleaner, stelden hun klanten gerust met de boodschap dat de hack in een vroeg stadium werd ontdekt. De malware had nog niet de kans gehad om nieuwe malware te installeren op getroffen computers en stuurde slechts informatie door naar een server in de Verenigde Staten. Deze server werd op 15 september afgesloten. Bovendien rolde Avast erg snel nieuwe versies van CCleaner uit.
Grote vissen
Ondanks deze geruststellende woorden blijkt er meer achter de aanval te zitten dan in eerste instantie leek. Cisco heeft de code van de Command en Control-server onderzocht en vond een lijst met domeinnamen van grote technologiebedrijven, waaronder Cisco zelf. Blijkbaar probeerden de hackers met hun aanval voornamelijk bedrijfscomputers van belangrijke firma’s te treffen.
“Het lijkt alsof de slechteriken een net uitgooiden en alle vissen vingen, maar slechts de machines die het interessantst waren, wilden besmetten,” vertelt Craig Williams van Cisco Talos aan Reuters. Minstens 20 machines van de opgelijste bedrijven werden besmet met extra malware.
Beweegredenen
Volgens Williams kunnen de hackers om verschillende redenen grote technologiebedrijven viseren. Zo kan het gaan om een eerste stap in een grotere aanval, waarbij malware in producten van andere technologiebedrijven wordt geïnjecteerd. De producten van deze bedrijven worden wereldwijd gebruikt en vertrouwd en kunnen gebruikt worden om overheden en andere bedrijven in de val te lokken. Bovendien kunnen hackers via deze weg technologiegeheimen stelen.
Omwille van de nieuwe info die is verzameld over de aanval raadt Cisco aan om niet alleen CCleaner te updaten. Met name bedrijven moeten eveneens een back-up terugzetten van voor de aanval, om zeker te zijn dat de cybercriminelen niet langer op het bedrijfsnetwerk kunnen.
Voorlopig is nog niet bekend wie er achter de aanval zit. Wel lijkt de malware erg hard op code die in het verleden al werd gebruikt door de Chinese autoriteiten. Deze kwaadaardige software kan echter gestolen zijn.
CCleaner, een populaire optimalisatietool voor Windows en Android, werd vorige maand geïnjecteerd met malware. Meer dan twee miljoen mensen downloadden de besmette versie van CCleaner. Nu blijkt dat deze grootschalige aanval bedoeld was om erg gericht slachtoffers te maken. De hackers gingen op zoek naar bedrijfscomputers van grote technologiebedrijven, zoals Microsoft, Cisco, Intel en Samsung. Experts spreken van een erg gesofisticeerde aanval.
Snelle aanpak
Piriform, de maker van CCleaner, stelde op 12 september een security-inbreuk vast in de 32-bit Windows-versies van CCleaner 5.33.6162 en CCleaner Cloud 1.07.3191. De CCleaner-versies werden geïnjecteerd met malware die een hacker toestaat om vanop afstand code uit te voeren op een getroffen systeem. Beide updates werden in augustus uitgerold en zouden zo’n 2,27 miljoen keer zijn gedownload.
Piriform en Avast, de huidige eigenaar van CCleaner, stelden hun klanten gerust met de boodschap dat de hack in een vroeg stadium werd ontdekt. De malware had nog niet de kans gehad om nieuwe malware te installeren op getroffen computers en stuurde slechts informatie door naar een server in de Verenigde Staten. Deze server werd op 15 september afgesloten. Bovendien rolde Avast erg snel nieuwe versies van CCleaner uit.
Grote vissen
Ondanks deze geruststellende woorden blijkt er meer achter de aanval te zitten dan in eerste instantie leek. Cisco heeft de code van de Command en Control-server onderzocht en vond een lijst met domeinnamen van grote technologiebedrijven, waaronder Cisco zelf. Blijkbaar probeerden de hackers met hun aanval voornamelijk bedrijfscomputers van belangrijke firma’s te treffen.
“Het lijkt alsof de slechteriken een net uitgooiden en alle vissen vingen, maar slechts de machines die het interessantst waren, wilden besmetten,” vertelt Craig Williams van Cisco Talos aan Reuters. Minstens 20 machines van de opgelijste bedrijven werden besmet met extra malware.
Beweegredenen
Volgens Williams kunnen de hackers om verschillende redenen grote technologiebedrijven viseren. Zo kan het gaan om een eerste stap in een grotere aanval, waarbij malware in producten van andere technologiebedrijven wordt geïnjecteerd. De producten van deze bedrijven worden wereldwijd gebruikt en vertrouwd en kunnen gebruikt worden om overheden en andere bedrijven in de val te lokken. Bovendien kunnen hackers via deze weg technologiegeheimen stelen.
Omwille van de nieuwe info die is verzameld over de aanval raadt Cisco aan om niet alleen CCleaner te updaten. Met name bedrijven moeten eveneens een back-up terugzetten van voor de aanval, om zeker te zijn dat de cybercriminelen niet langer op het bedrijfsnetwerk kunnen.
Voorlopig is nog niet bekend wie er achter de aanval zit. Wel lijkt de malware erg hard op code die in het verleden al werd gebruikt door de Chinese autoriteiten. Deze kwaadaardige software kan echter gestolen zijn.