'Aanvallers achter CCleaner-hack richtten zich op grote techbedrijven'

Cisco's beveiligingsonderdeel Talos heeft een nieuwe analyse gepubliceerd van de CCleaner-hack. Het bedrijf heeft bestanden van de command-and-controlserver van de malware in handen gekregen waaruit blijkt dat de aanvallers zich richtten op grote techbedrijven.

Talos CCleaner domeinenIn een recente blogpost publiceert Talos een lijst met een aantal bedrijven die het doelwit waren van de vooralsnog onbekende aanvallers. Het gaat om grote techbedrijven, zoals Samsung, Sony, Google, Intel, Microsoft en Cisco zelf. Daaruit maken de onderzoekers op dat het motief waarschijnlijk economische spionage is, waarbij de geavanceerde aanvallers uit waren op intellectuele eigendom. In totaal gaat het om twintig systemen waarbij de aanvallers de tweede trap van de malware activeerden. Of dat dezelfde bedrijven waren, zegt Talos niet.

Dat gaat in tegen eerdere berichtgeving, waarin werd vermeld dat de tweede trap van de malware nooit is geactiveerd. Avast bevestigt dit in een eigen blogpost. De eerste trap bestond uit een backdoor in de CCleaner-installer, die informatie over geïnfecteerde systemen verzamelde en deze naar de aanvallers stuurde. De tweede trap bestond volgens Talos uit een bestand met de naam GeeSetup_x86.dll, dat een trojantool op het systeem installeert. Deze patcht een legitiem bestand met kwaadaardige code, waarna het mogelijk is om code in het geheugen van het systeem uit te voeren, wat detectie moet bemoeilijken.

De onderzoekers baseren hun bevindingen op bestanden van de command-and-controlserver, die wordt gebruikt om de malware op geïnfecteerde systemen aan te sturen. Ze schrijven niet op welke manier ze deze bestanden in handen hebben gekregen. De onderzoekers melden alleen dat ze in eerste instantie aan de echtheid ervan twijfelden, maar dat later bleek dat het om legitieme bestanden gaat.

Daaronder zijn bijvoorbeeld php-bestanden die dienden voor de communicatie met systemen waarop de malware aanwezig is. Verder troffen ze een MySQL-database aan, met daarin de systemen die contact hadden opgenomen met de c2-server gedurende vier dagen in september. Daarbij ging het om 700.000 systemen, waarvan 20 de tweede trap van de malware hadden ontvangen. Doordat de database een korte periode bestrijkt, bestaat de mogelijkheid dat er ook andere doelwitten waren, waarschuwt Talos.

Eerder had beveiligingsbedrijf Kaspersky al aangeduid dat de aanvallers code hadden hergebruikt die in het verleden is toegepast door leden van de zogenaamde Group 72 of Axiom-groepering, die banden zou hebben met China en zich bezighoudt met economische spionage. Volgens Talos zijn er inderdaad overeenkomsten en zou het om belangrijke informatie gaan. In de php-bestanden vond het bedrijf verwijzingen naar Chinese tijdzones, maar Talos zegt dat dit onbruikbaar is voor toeschrijving aan een bepaalde partij.

Door Sander van Voorst

Nieuwsredacteur

21-09-2017 • 10:26

35

Submitter: Darklance

Reacties (35)

35
35
15
1
0
8
Wijzig sortering
En kun je ook nog kijken of er iets schadelijks geinstalleerd is op je systeem?
Zie temp00 in 'nieuws: CCleaner-installer bevatte een maand lang backdoor - update' En de meeste virusscanners pakken deze inmiddels op.

[Reactie gewijzigd door DeathMaster op 24 juli 2024 04:16]

Dat is inderdaad een optie, maar ik weet niet of dat nog is veranderd omdat nu de situatie nu toch erger blijkt te zijn dan dat we dachten. Maar ach, 20 van de 700.000 computers hebben maar malware opgelopen door deze backdoor. Zeer kleine kans dus dat je tussen die 700.000 computers zit. Laat staan 20... ;)

[Reactie gewijzigd door Anonymoussaurus op 24 juli 2024 04:16]

Maar de malware is er zich toch niet anders door gaan gedragen? Zonder de registerwaarde waarschijnlijk geen infectie.
Nee, dat is ook zo, maar ik hoopte dat er wat meer informatie vrij zou komen. Misschien is die waarde in het register alleen een bewijs voor de eerste trap, maar dat lijkt me stug, aangezien het gewoon in de installer zat en dan iedereen met 5.33 die registerwaarde had moeten hebben. Het zal dus wel alleen met stage 2 zijn.
Hoezo hebben ze alleen de 32-bit versie geinfecteerd en niet de 64-bit, is daar een specifieke reden voor?
Ik mag aannemen dat de westerse wereld zo ongeveer voor 80% op 64-bit Windows zit?
Ik heb eerlijk gezegd geen flauw idee. Ja, dat kan je wel stellen ja.
Het zal met dingen te maken hebben ingewikkelder dan keuze, god weet wat het is. Dit gaat mij mn petje ver te boven ^^
Ik heb geluk dat ik deze CCleaner-dans ontsprongen ben, doordat ik al sinds DOS, alles handigmatig controleer (zover ik kan, en weet van heb). Mijn oubolligheid red me :)

CCleaner is completer, en dus een echt handige tool voor opschonen, waarmee ook iedere ICT-onkundigen kan werken. Een hackers-goudmijn dus, gezien het aantal potentiele 'klanten'.

Zijn bovengenoemde bedrijven nou ook de sigaar geweest van deze hack? Of was dat doel mislukt?
Of vraag ik naar iets wat nog niet bekend is? :$

[edit]
Moeite doe ik al een tijd niet meer, naast onbekende processen nalopen, en dan alle rechten te verwijderen :+

Ik kon in het originele artikel niet onderscheiden, of er ook clients de dupe zijn door de trap-2-trojans. Er worden wat bestanden omschreven (x86/x64) waarvan ik denk, dat het belangrijk zou zijn om deze ook in dit artikel te benoemen.
als clients of 'server-speelse tweakers' ook slachtoffer zouden kunnen worden

[Reactie gewijzigd door Flipull op 24 juli 2024 04:16]

Dan mag ik toch ook hopen dat je zoveel moeite wilt doen om even wat scripts in PowerShell uit te voeren? Namelijk om meuk zoals "Weer" en "Sport" etc te verwijderen.

Het is waarschijnlijk mislukt, aangezien er maar 20 computers zijn geïnfecteerd met de malware van de 700.000.
Waarom zou je zelf scripts aanroepen, als een GUI dat ook kan doen? https://www.winprivacy.de/
Daarom.. Hij geeft aan dat hij alles handmatig wilt doen. Dus vandaar.
Er is nu ook een nieuwe ccleaner download beschikbaar; de laatste versie 5.35.6210 en alle voorgaande zijn voorzien van een nieuwe digitale handtekening.
http://www.piriform.com/ccleaner/release-notes
Als ik zo de blog post lees op de piriform website kan je maar beter even wachten met het opnieuw downloaden en installeren van Ccleaner of wat dan ook voor bestand van hun servers.

Met weet nog niet hoe de hack op de interne servers tot stand is gekomen. Het onderzoek daarna loopt nog. Ergens zit er dus nog steeds een lek en tot dat die gedicht is kan je beter het zekere voor het onzekere nemen en alternatieven zoeken of handmatig je systeem onderhanden nemen.
Lijkt me toch wel een probleempje. Hier bij KPN wordt CCleaner voorgeïnstalleerd in de image, dus dan zit je daar met je CCleaner 5.33... Moet de applicatiebeheerder toch wel even snel een patchronde invoeren.

Het is mij alleen niet helemaal duidelijk wat je nu moet doen om zeker te zijn of je de sjaak bent of niet.

[Reactie gewijzigd door Anonymoussaurus op 24 juli 2024 04:16]

Je CCleaner gewoon updaten. En blijven updaten. Ik ga gewoon door met het gebruiken van de software.

De kans dat je überhaupt de sjaak bent, de kans dat iemand hier in dit topic de sjaak is, is nihil. Echt nihil.
Wat was de reactie ook al weer van Piriform en Avast? Niets aan de hand, er wordt niets geinstalleerd etc etc.
Jammer, dat het nu toch wat meer aan de hand is.
http://www.piriform.com/n...-for-32-bit-windows-users
We resolved this quickly and believe no harm was done to any of our users.
Dit is iets anders dan wat jij in je eerste post aangaf.
Wat ik uit de media heb begrepen.
Is dat ze na de ondekking van de backdoor een server offline gehaald hebben en daarmee was het probleem voor hun klanten opgelost.

nieuws: CCleaner-installer bevatte een maand lang backdoor - update
Avast zegt tegen Forbes dat naar schatting 2,27 miljoen gebruikers de kwaadaardige versies hebben geïnstalleerd. De uitspraak dat de tweede component van de malware niet was uitgevoerd, baseert het bedrijf op een scan van geïnfecteerde computers waarop zijn software is geïnstalleerd.
En kan zo niet alle bronnen terug halen, wat ik omtrent dit extreem grote beveiligings probleem gelezen heb.
Ik vraag enkel waar ze gezegd hebben wat jij quote;
Niets aan de hand, er wordt niets geinstalleerd etc etc.
Dit hebben ze naar mijn idee niet gezegd en van jou ook nog geen bron gezien die jouw stelling bevestigd.

Maar genoeg offtopic.
We resolved this quickly and believe no harm was done to any of our users.
Wellicht waren ze op dat moment ook in de veronderstelling dat er nog niets gebeurd was. Zoals jij het schets beweerden ze met 100% zekerheid dat er niets aan de hand was, en dat hebben ze nooit zo gezegd.

Dat jij het zo hebt opgevat is een kwestie van begrijpend lezen.
Beetje off-topic: Ik denk dat 'believe' echt een zeer uitgekiende woordkeuze van Piriform is geweest. Een hoogst interpreteerbaar woord wat ruimte laat om alsnog negatief te kunnen uitvallen. Zeker in die zin waar 'resolved it quickly' het zwaarst weegt.

Slim? Misschien. Eerlijk en betrouwbaar? :?
Ook direct gericht op het Europese distributiecentrum van Samsung in Breda: "samsung-breda"
Volgens de EULA van CCleaner kan de gratis versie niet gebruikt worden in een commerciële omgeving, tenzij er genoeg mensen bij hun baas zeuren om een licentie te nemen. (Daarom is BleachBit je vriend).

Natuurlijk zal niet iedereen de EULA doornemen en domweg installeren (als een portable app), maar ik vind daardoor de keuze van de aanvallers om CCleaner als "deur" te nemen om een techbedrijf binnen te dringen vreemd.

[Reactie gewijzigd door RoestVrijStaal op 24 juli 2024 04:16]

Wet van de grote getallen. Deze bedrijven hebben samen misschien wel een miljoen werkplekken. De kans dat een geïnfecteerde app als CCleaner ergens binnenkomt is gewoon zeer groot.
Veel bedrijven hanteren tegenwoordig het "BYOD" principe dus de kans dat cliënts bij grote bedrijven besmet kunnen worden is wel degelijk aanwezig.
Kun je bij BleachBit ook cookies op een groene lijst zetten en automatisch tijdens het opstarten schoonmaken?
Op internet iets zoeken is ook zo lastig hè? |:( |:( |:(

https://duckduckgo.com/?q=bleachbit+cookies
Wat geeft:
https://www.bleachbit.org/category/forum-tags/cookies
Wat geeft:
https://www.bleachbit.org...-delete-windows-and-linux
https://www.bleachbit.org...kies-excpet-selected-ones

Antwoord: Nee. Maar dat komt ook omdat Piriform de verantwoordelijkheid van het behoud van cookies bij henzelf neerlegt. Browsers hebben extensies die intelligenter zijn in cookie management. Sowieso klinkt het al naar dat CCleaner de "container" waarin FF en Chrome (bij IE zijn het losse text bestandjes) zelf moet openen en erin gaat schrijven.

Verder:
https://duckduckgo.com/?q=bleachbit+startup
Wat geeft:
https://www.bleachbit.org/documentation/command-line

Antwoord: Ja, met een beetje kennis van hoe je OS werkt en zelf onderzoeken en proberen.

[Reactie gewijzigd door RoestVrijStaal op 24 juli 2024 04:16]

CCleaner hoort toch niet thuis op een enterprise computer?
Als die moet opgeschoont worden, krijgt die gewoon een verse installatie... althans dat verwacht ik in zo'n omgevingen.
Kan mij oprecht niet voorstellen dat de supportafdelingen van Microsoft, Google met CCleaner aan de gang gaan. En àls ze dat doen, is dat wat mij betreft oh-zo-verkeerd dat het misschien goed is dat ze eens wat voorhebben. Wie weet leren ze eruit...
Wat is de reden om CCleaner te gebruiken? Zelf heb ik het nog nooit gebruikt, en heb ook niet het gevoel dat ik wat mis. Word je PC sneller door zoiets? En waarom zou Microsoft Windows 10 niet zo patch'en dat Windows 10 net zo snel word als na een "CClean"?
Je pc wordt niet sneller, maar het is een makkelijke manier (centrale interface) om zaken wat opgeruimd te houden: prullenbak leegmaken, logbestanden en temporary files verwijderen, cache leegmaken, edge/chrome/firefox opruimen (cookies, tijdelijke bestaden, sessie, internetgeschiedenis, downloadgeschiedenis, ...). Waar ik hem ook gemakkelijk voor gebruik, is voor het deïnstalleren van programma's of het beheer van de startup programma's of browser plugins.

Volgens mij heeft dit allemaal niks met een patch te maken, of met zaken die zich op het niveau van het OS afspelen. Het zijn doorgaans zaken die al sinds Windows XP ergens erin zitten, maar bij CCleaner eenvoudiger centraal of automatisch in de gaten te houden zijn.

Op dit item kan niet meer gereageerd worden.