Aanvallers dringen binnen in netwerk Avast 'om malware in CCleaner te plaatsen'

Onbekenden hebben toegang gekregen tot het netwerk van beveiligingsbedrijf Avast. Wellicht gebeurde dat om malware in het programma te stoppen, net als een dergelijke aanval uit 2017. Dat is uiteindelijk niet gebeurd.

Een aanvaller wist via gestolen inloggegevens op de vpn van het bedrijf te komen, schrijft het bedrijf. Het ging om de gegevens van een tijdelijk profiel dat per ongeluk niet verwijderd was en waarop geen tweestapsverificatie actief was. Het zou gaan om diverse credentials. Aanvankelijk had de aanvaller geen adminrechten op het systeem, maar hij wist die volgens een privilege escalation toch te bemachtigen. Volgens Avast was de malware zo opgezet dat die geen sporen zou achterlaten. Ook zouden de aanvallers veel moeite hebben gedaan om ongedetecteerd te blijven in het netwerk.

Avast merkte de aanval op 23 september op. Het bedrijf werkte samen met de Tsjechische inlichtingendiensten, de politie en een forensisch team om te meer informatie te vinden. Volgens het bedrijf probeerde de aanvaller al sinds mei in het systeem binnen te dringen. Avast stopte daarop de verspreiding van nieuwe versies van het programma. Analyse van oudere versies gaf aan dat die niet geïnfecteerd waren.

Avast vermoedt dat de aanvallers het programma CCleaner wilden infecteren met malware. Dat gebeurde ook al in 2017. De 32bit-versie van het programma bevatte een maand lang een backdoor. Daarmee was remote code execution op een geïnfecteerd systeem mogelijk. De aanval richtte zich destijds specifiek op de systemen van zo'n veertig bedrijven, zoals Intel, Samsung en Sony. Avast zegt echter dat het niet zeker is of het om dezelfde aanvallers gaat en wat zij precies probeerden. "Met wat we nu weten, kunnen we zeggen dat dit een zeer geavanceerde aanval was", schrijft het bedrijf.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 21-10-2019 11:0457

21-10-2019 • 11:04

57 Linkedin

Lees meer

Microsoft brengt eerste bèta van CCleaner-achtige app uit Nieuws van 21 oktober 2022
Avast neemt browserextensie I don’t care about cookies over Nieuws van 15 september 2022
Tsjechische privacyautoriteit onderzoekt verkoop gebruikersdata Avast Nieuws van 13 februari 2020
Avast verkoopt data van gebruikers gratis antivirussoftware onder pseudoniem Nieuws van 27 januari 2020
Microsoft blokkeert Windows-upgrades bij computers met oude versie Avast of AVG Nieuws van 25 november 2019
Hackers hadden toegang tot Finse server van NordVPN Nieuws van 21 oktober 2019
'Malware die in Asus-updatetool werd gevonden trof ook gamebedrijven' Nieuws van 24 april 2019
Asus Live Update-software bevatte backdoor voor gerichte aanvallen Nieuws van 25 maart 2019
Piriform haalt laatste versie CCleaner offline na privacyzorgen gebruikers Nieuws van 6 augustus 2018
'Aanvallers CCleaner wilden keylogger en wachtwoorddief installeren' Nieuws van 9 maart 2018
AIVD: steeds complexere spionageaanvallen richten zich op Nederlandse doelwitten Nieuws van 6 maart 2018
Meer producten en artikelen
Beveiliging en antivirus Avast Hack Hackers

Reacties (57)

-Moderatie-faq
57
56
34
8
0
13
Wijzig sortering
ToolkiT
21 oktober 2019 11:14
"On September 25, we halted upcoming CCleaner releases and began checking prior CCleaner releases and verified that no malicious alterations had been made. As two further preventative measures, we first re-signed a clean update of the product, pushed it out to users via an automatic update on October 15, and second, we revoked the previous certificate. Having taken all these precautions, we are confident to say that our CCleaner users are protected and unaffected."
Is er ook een manier om te checken of je niet de gehackte versie hebt? Of is vertrouwen op de certificates genoeg?
Pendaco
@ToolkiT21 oktober 2019 11:19
Zoals ik het lees is er geen gehackte versie. Ze hebben de uitrol van nieuwe versies tijdelijk stopgezet en hebben daarnaast de bestaande versies gecontroleerd en geverifieerd. Vervolgens hebben ze voor de nieuwe versie(s) een nieuw certificaat aangemaakt.
ToolkiT
@Pendaco21 oktober 2019 11:22
Dat de nieuwe versie clean is geloof ik wel, maar dat er niks in de tussentijd is gebeurt ben ik wat minder zeker over..
Dus zorgen dat je op de laatste versie met nieuwe cert bent dus..
Pendaco
@ToolkiT21 oktober 2019 11:24
Daar hebben ze het in de volgende alinea over;
Simultaneously, effective immediately, we have implemented additional scrutiny to all releases.
Dus ja, wel een klein beetje op hun blauwe ogen geloven..
glatuin
21 oktober 2019 11:26
CCleaner is een onnodig programma. Ik snap niet waarom mensen denken dit nodig te hebben.
mae-t.net
@glatuin21 oktober 2019 12:09
Volgens die redenatie zijn de meeste programma's onnodig. Spreadsheet? Windows Calculator! enzovoort. Doen precies hetzelfde, alleen op een andere manier.

Om met behulp van de verkenner, en regedit en menufuncties uit diverse applicaties, te doen wat ccleaner doet kost gemakkelijk uren. Zelfs als je zoveel mogelijk van die functies automatiseert (koekjes opruimen bij sluiten browser bijvoorbeeld), is ccleaner nog steeds grondiger en sneller. Los programma voor duplicate files, los programma om lege ruimte te overschrijven, zelfs al zijn het dingen die je weinig gebruikt.

Daar staat tegenover dat het slechts een van de vele gereedschappen is, en natuurlijk ook niet zaligmakend. Maar ook dat geldt voor bijna alle andere software op je computer. Ik zie in de meukupdatecommentaren hier ook vaak dat het gebasht wordt als onnodig of zelfs gevaarlijk door antifanboys, maar die zou ik erop willen wijzen om consequenter te zijn en alle concurrentie t/m Windows zelf van vergelijkbare kritiek te voorzien want daar zitten vergelijkbare, aanvullende of overlappende nadelen aan. Dan is onmiddelijk duidelijk hoe onzinnig dat is. Elke software heeft nadelen en de voordelen maken het nuttig.

[Reactie gewijzigd door mae-t.net op 21 oktober 2019 12:16]

Joop
@mae-t.net21 oktober 2019 13:20
Hey soort "opschonen" wat CCleaner en vergelijkbare programma's doet is vaak overbodig. Het speelt in op de angst bij veel gebruikers dat Windows anders traag wordt of willekeurige andere problemen ontstaan. De makers van deze software wakkeren deze angst ook vaak actief aan.

Dit zijn echter grotendeels zaken die gebaseerd zijn op de reputatie van oude Windows versies (met name de 9x range), maar zijn nu meestal niet meer relevant.

Tevens hadden deze programma's nog wel eens de eigenschap dat ze teveel verwijderden, wat juist problemen veroorzaakte. Al moet ik dan ook wel zeggen dat dit tegenwoordig niet zo vaak meer voor komt volgens mij.
chaozz
@Joop21 oktober 2019 13:37
Hey soort "opschonen" wat CCleaner en vergelijkbare programma's doet is vaak overbodig. Het speelt in op de angst bij veel gebruikers dat Windows anders traag wordt of willekeurige andere problemen ontstaan. De makers van deze software wakkeren deze angst ook vaak actief aan.
De subtext op piriform.com/ccleaner is "CCleaner is het beste programma voor het opschonen van uw computer. Het beschermt uw privacy, laat uw computer sneller werken en versterkt de beveiliging ervan."

Dat kun je valse claims noemen als je daar onderzoek naar gedaan hebt, maar geen bangmakerij.
Dit zijn echter grotendeels zaken die gebaseerd zijn op de reputatie van oude Windows versies (met name de 9x range), maar zijn nu meestal niet meer relevant.
Volgens dit onderzoek van passmark heeft het wel degelijk een positieve invloed op de prestaties.
ajow
@chaozz21 oktober 2019 14:08
Dat onderzoek uit 2017 is voor software wel gedateerd... ondertussen al 4 Windows 10 versies verder en bij Windows 10 kan je ook je schijf opruimen. net zoals je met het taakbeheer de programma's automatisch opstarten uit kan schakelen.

Dit is wat het meeste de prestaties van een pc beïnvloed mits je geen virus/malware/dubieuze programma's geïnstalleerd hebt.

Maar voor Windows 7 zou je het kunnen gebruiken. Al zou ik Windows 7 niet meer gebruiken.

[Reactie gewijzigd door ajow op 21 oktober 2019 14:09]

gabba25
@Joop21 oktober 2019 14:36
Ben het wel voor een groot deel met je eens. Waar het wel handig voor is, is het opschonen van terminal server user profiles. c:\users\username\recyclebin bijvoorbeeld.
Killah_Priest
@gabba2521 oktober 2019 15:16
Dit soort software op productie servers draaien is echt not done in mijn ogen. Als een systeembeheer niet weet hoe je zonder dit soort tools bv TS user profiles opschoont dan verstaat deze simpelweg zijn/haar vak niet.
mae-t.net
@Killah_Priest22 oktober 2019 12:29
Je hebt ALTIJD tools nodig om profielen op te schonen. Of wil je met de hand tientallen of honderden gebruikers aflopen?

Of bedoel je dat je een zelfgeschreven of gedownload kix- of powershellscriptje meer vertrouwt? Als je dat bedoelde kan ik daar wel inkomen, maar zo groot is het verschil tussen tools nou ook weer niet.
Killah_Priest
@mae-t.net22 oktober 2019 12:43
Ik schrijf eigenlijk altijd alles zelf, meestal in Powershell. Gedownloade scripts vertrouw ik eigenlijk nooit (het kost mij vaak ook meer tijd/moeite om de broncode van zo'n script te controleren als de tijd die het mij kost om het zelf te schrijven)
MPAnnihilator
@Joop21 oktober 2019 23:53
Het helpt mij thans wel enkele malen per jaar in enkele klikken een paar GB aan cache op te kuisen van mijn browsers, tijdelijke bestanden enz...

Ik gebruik het uit gewoonte ook nog steeds om mijn startup programma's tot een minimum te beperken. Andere functies ervan gebruik ik minder of schakel ik uit.
WCA
@mae-t.net21 oktober 2019 13:28
Opruimen van cookies/temp/register bestanden etc is onnodig, en werkt zelfs averechts. Je pc wordt er niet schoner of sneller van, integendeel. Je krijgt tijdelijk wat meer opslag, maar dat is zo weer weg omdat je cache gewoon opnieuw wordt opgebouwd.

Windows regelt dit prima zelf tegenwoordig.

T is wel fijn om inderdaad opstartitems weg te halen (aggregeert opstartitems van meerdere plekken, ipv te moeten kijken bij task scheduler, task manager én de startmenu-startupfolder), contextmenu-items weg te halen, en programma's te deinstalleren (itt configuratiescherm, kan je in CCleaner wel meerdere programma's tegelijk verwijderen)
crazyx
@WCA21 oktober 2019 17:43
Windows regelt dat helemaal nog niet prima tegenwoordig. Gisterrn toevallig een log bestand gevonden van bijna 8gb in een windows map.(was een 80gb ssd, dus dat maakt nogal een verschil). Logbestand is gewoon al die jaren aan het opbouwen geweest.
mae-t.net
@crazyx22 oktober 2019 12:30
Inderdaad. En koekjes ruimt Windows zelfs helemaal niet op, dat blijft een taak van de browsers.
Barfman
@glatuin21 oktober 2019 11:29
Je hebt het ook niet nodig, maar het is wel erg makkelijk :-)
InZane
@Barfman21 oktober 2019 11:38
Ja het is wel makkelijk, maar sinds ik om de haverklap irritante reclame popups krijg is het van m'n systeem af.
Redsandro
@InZane21 oktober 2019 12:18
Is CCleaner niet de gelikt uitziende commerciële variant van BleachBit? Gewoon die laatste installeren. Ik snap niet zo goed dat elk klein truukje of scriptje met een belangeloos alternatief commercieel als adware of nagware zo populair wordt.

[Reactie gewijzigd door Redsandro op 21 oktober 2019 12:19]

DedSec85
@Redsandro21 oktober 2019 12:32
BleachBit kende ik nog niet, dus thnx voor de tip! CCleaner kan ook fouten uit je registry halen en voor zover ik heb gezien kan BleachBit dat niet.
Eagle Creek
@DedSec8521 oktober 2019 13:08
En heb je zelf ondervonden dat je pc sneller of beter is gaan werken van die registeroptimalisatie of ga je mee in de lovende woorden van preventie?

Ik ben er jaren geleden mee gestopt in ieder geval - het regelmatig register "schonen"..
WCA
@DedSec8521 oktober 2019 13:30
Fouten uit het register halen? Wanneer heb jij ooit last van fouten in het register dan?

Dit soort schoonprogramma's kunnen het register soms juist goed verneuken, en échte registerfouten kan je beter handmatig fiksen. Maar dat komt zelden zomaar voor
Thystan
@WCA22 oktober 2019 11:29
Het register moet worden doorzocht en 'loze' links kunnen door CC worden verwijderd, waardoor het in theorie sneller werkt.
WCA
@Thystan22 oktober 2019 11:30
Ik kan je nu vertellen: de kans dat er iets gesloopt wordt is groter dan de kans dat je pc merkbaar (of uberhaupt) sneller wordt.
Thystan
@WCA22 oktober 2019 11:34
Ben ik het op zich mee eens, maar als geavanceerde gebruiker check ik alles wat hij gaat doet.
Ik vind de interface vrij makkelijk.

Er is ook nog een ander ding handig aan. Bij mijn Eigen computer heb ik alle tijd en kennis van het system, maar bij de computer van iemand anders die ik ff snel wil optimaliseren is dit een handige tool.

Ik gebruik ook bijvoorbeeld TreeSize (voor log bestanden en grootte van de desktop), want de filesize op de desktop verkleinen zorgt voor sneller opstarten en BelArc Advisor, om te kunnen zien hoe snel de PC zou moeten zijn. Desnoods kan ik daar ook licentiesleutels uithalen voor een reinstall (wat iedere engineer in een computerwinkel altijd vergeet).
Gomez12
@glatuin21 oktober 2019 11:30
CCleaner is gewoon een verzameling opruimscriptjes.

Als jij die scriptjes los draait, tja dan is het een "onnodig programma" maar dan enkel omdat jij blijkbaar liever 100x klikt dan 1x klikt.
dennis_rsb
@glatuin21 oktober 2019 11:37
ccleaner kan meer opruimen dan schijfopruiming. Uit mijn hoofd haalt schijfopruiming bv firefox en chrome bestanden niet weg.
ItsNotRudy
@glatuin21 oktober 2019 13:07
Het werkt anders verdomd goed tegen Windows Store apps die je normaliter enkel via geadvanceerde powershell-scripts kan weggooien. (My Phone, People, Help Center, etc)

Dus voor de leek een prima tooltje.
HADES2001
@glatuin21 oktober 2019 13:27
Tegenwoordig ben ik het met je eens maar rond Windows XP tot en met Windows 7 was het een programma dat ik graag af en toe draaide om rommel permanent te verwijderen. (zeker XP hield erg veel onnodige registry gegevens na het verwijderen van programma's)
Venix1990
@glatuin21 oktober 2019 16:35
Ik gebruik het al jaren en erg tevreden erover. Doet veel dingen ineens, die ik anders zelf met de hand moet doen.

Gelukkig is het jouw mening. Ik gebruik het wel, jij duidelijk niet.
mr_evil08
@glatuin21 oktober 2019 11:57
CCleaner wil regelmatig teveel "cleanen" met name als register "cleanen" ook aan staat.
Er zijn betere programma,s daarvoor(mbam/adwcleaner/superantispyware), met CCleaner aan de hand = pc herinstalleren, want vaak blijf je met allerlei vage issues/problemen zitten zoals programma X werkt functie Y opeens niet meer of Windows geeft niet herleidbare foutmeldingen.

Zit het probleem te diep dan is het gewoon herinstallatie want je blijft altijd met de nasleep zitten.

Mensen denken met CCleaner je pc sneller wordt, dat is echter een placebo effect(zijn vaak pc,s met te weinig ram), Windows kan prima heel veel zaken zelf regelen anders had Microsoft daar wel iets op bedacht, meer RAM/SSD geeft een blijvend snelheidsverbetering.

Edit: Nee ik ga geen voorbeelden aanleveren, raad alleen aan daar zorgvuldig mee om te gaan.
offtopic:
Net als mensen 100% vertrouwen op hun anti-virus scanner dat ze veilig zijn (euhm met een 0-day ben je gewoon de pineut), het blijft een hulpmiddel dat op bekende symtonen kijkt, de onbekende dat er ongetwijfeld zijn zie je dus niet.

[Reactie gewijzigd door mr_evil08 op 21 oktober 2019 12:04]

denios
21 oktober 2019 11:30
Niet best dit. Als vooraanstaand beveiligingsbedrijf werken met "temporary accounts" met een simpele user/pw login(?!) zonder 2Fa vind ik persoonlijk niet erg vertrouwenswekkend.

Daarnaast is het niet de eerste keer dat dit gebeurde, 13 september 2017 was het ook al raak, en is CCleaner uiteindelijk wel gehackt.
MrFax
@denios21 oktober 2019 11:56
Je weet natuurlijk niet zeker of de aanvallers iemand van binnenuit hebben :)
freekvandeven
@MrFax21 oktober 2019 12:13
Dan moet je ervoor zorgen dat een medewerker niet in zijn eentje malware kan injecteren in de source code van ccleaner.
Schway
@denios21 oktober 2019 12:37
Oh shit, er werken mensen bij een bedrijf!
well0549
21 oktober 2019 11:13
Sow...

Best wel heftig...

Sinds mei al bezig en pas in september gezien
feuniks
@well054921 oktober 2019 11:32
Sow...

Best wel heftig...

Sinds mei al bezig en pas in september gezien
Ik heb een keer bezoek gehad van de beveiligsafdeling van Microsoft. Die kwamen uitleggen hoe een netwerk kon worden binnen gedrongen en wat ik van hun hoorde, lijkt precies op wat ik hierboven lees. Binnenkomen, onder de radar blijven, vooral niets doen wat getraceerd kan worden en op het moment dat je merkt dat iemand binnen is, dan zijn ze er vaak al maanden en krijg je ze bijna niet meer buiten, omdat ze inmiddels als een vorm van kanker door je hele netwerk zitten. Was een erg interessante sessie.
DeFeCt
@feuniks21 oktober 2019 11:49
Deze gratis cursus is daarom ook zeer de moeite waard: https://courses.edx.org/c...ft+INF246x+2T2019/course/
Mixpower
@well054921 oktober 2019 11:22
Dat is niet wat er staat.
Christoxz
@well054921 oktober 2019 11:33
Ja en nee, hij heeft in mei een poging gedaan. en heeft toen een maand niks meer gedaan. In juni weer een poging etc.
Hij is dus niet continue bezig geweest waardoor het niet opviel.
Zie originele blog Van Avast
ToolkiT
@well054921 oktober 2019 11:23
relatief lang ja, maar geeft dus aan hoe sofisticated de aanval was..
Of hoe incompetent Avast.. maar ik geef ze de voordeel van de twijfel..
ro8in
21 oktober 2019 11:12
Misschien handig om erbij te vermelden dat CCleaner dus van Avast is.
Dark Angel 58
@ro8in21 oktober 2019 14:22
Misschien handig om erbij te vermelden dat CCleaner dus van Avast is.
Ah bedankt voor de info, Ik wist helemaal niet dat Piriform door Avast overgenomen was. Ik vond een bevestiging in Wikipedia artikel over ccleaner.

[Reactie gewijzigd door Dark Angel 58 op 21 oktober 2019 14:23]

mae-t.net
@ro8in21 oktober 2019 12:05
Een lezer die die conclusie niet zelf kan trekken (of het niet al wist), zal de rest van het artikel waarschijnlijk ook niet snappen. Ik ben echter niet persé tegen het gebruik van hovertips voor korte achtergrondinfo als dat zo uitkomt.
ro8in
@mae-t.net21 oktober 2019 12:26
Nou als je dus niet weet dat CCleaner van Avast is, dan leest het artikel een beetje verwarrend. In eerste instantie dacht ik dus dat hun dat programma gebruikte op hun PC's ofzo, maar vond het al een beetje vreemd dat de hackers dan specifiek voor dat programma gingen.

[Reactie gewijzigd door ro8in op 21 oktober 2019 12:27]

itsalex
21 oktober 2019 11:36
Zeker voor een gerenomeerd bedrijf welke ook nog AVG in de portfolie heeft, kan het snel afgelopen zijn. Je weet niet wat ze nog meer misschien hebben gedaan.
Toch wel een hele zwakke move dat ze via een netwerk zo "overal" bij kunnen en een vertrouwd programma als CCleaner kunnen injecteren. Als dit niet was opgemerkt, dan was de schade misschien wel niet te overzien.
Toch ergens wel gevaarlijk om met VPN het netwerk open te zetten en dit niet te limiteren.
acst
21 oktober 2019 11:20
Is niet de eerste keer dat er gedonder is met CCleaner.
ro8in
@acst21 oktober 2019 11:34
Klopt, dat staat letterlijk in het artikel.
Anoniem: 310408
21 oktober 2019 11:45
Vreemd dat de veiligheidsdienst hierbij betrokken was. Ook vreemd dat je dat zomaar laat weten in een persbericht.
downtime
@Anoniem: 31040821 oktober 2019 11:55
Helemaal niet vreemd als je denkt dat een buitenlandse inlichtingendienst hier achter kan zitten.
masgreece
@Anoniem: 31040821 oktober 2019 21:05
Dat zijn ze verplicht te melden!!!
Bjorn89
21 oktober 2019 15:20
Dit is al de 2de of 3de keer dat CCleaner geinfecteerd is?
OxWax
@Bjorn8921 oktober 2019 15:33
De 2de keer staat al in de titel. Waar leest u over een derde keer?
Bjorn89
@OxWax22 oktober 2019 14:14
Ik had erover heen gelezen, tot viermaal toe! |:(

Tweemaal dus, denk dat ik in de war ben met een andere infectie(Sourceforge iirc).
OxWax
@Bjorn8922 oktober 2019 14:15
Ik had erover heen gelezen, tot viermaal toe! |:(
No biggy ;) Ik ken dat probleem

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee