Ein Hackerangriff auf das PC-Wartungswerkzeug CCleaner vom tschechischen Antiviren-Unternehmen Avast scheint dramatischere Ausmaße zu haben, als bisher gedacht. Über das Wartungsprogramm sollen die Hintermänner nicht nur Schadcode in Hunderttausende PCs eingeschleust, sondern auch gezielt Rechner in IT-Konzernen mit Spionage-Tools infiziert haben. Die Spuren führen nach einer ersten Untersuchung nach China.
Wie das IT-Magazin "Wired" berichtet, scheint es sich bei der Attacke auf CCleaner - krone.at berichtete - nicht um eine Machtdemonstration einiger Hacker zu handeln, sondern um einen schweren Fall von Wirtschaftsspionage. Über ein Update für das Wartungs-Tool schleusten Hacker Schadcode ein und infizierten Hunderttausende PCs.
Versteckter Angriff auf große IT-Unternehmen
Nach der Analyse durch Cisco Security verdichten sich nun aber die Anzeichen, dass der Angriff nicht auf Privatnutzer gerichtet war. Eine Untersuchung des Kommandoservers habe ergeben, dass dort eine Liste von 20 IT-Firmen hinterlegt war, die man über den CCleaner noch tiefer infiltrieren wollte.
Unter den Zielen finden sich Namen wie Intel, Microsoft, Google, Samsung, Sony, Akamai, HTC, Linksys und Cisco selbst. Zumindest ein Teil der Firmennetzwerke wurde bei dem Angriff tatsächlich unterwandert, die betroffenen Unternehmen habe man benachrichtigt, heißt es von Cisco.
Spuren führen nach China, Beweise fehlen
Das Ziel der CCleaner-Hacker - sie erkannten PCs in den Zielunternehmen an deren Netzwerkdomäne - sei vermutlich Wirtschaftsspionage gewesen, glaubt man bei Cisco. Und sowohl bei Cisco als auch beim russischen Antivirenspezialisten Kaspersky wurden Spuren gefunden, die den Ursprung der Attacke in China vermuten lassen.
Ein Teil des Schadcodes enthalte Passagen, die der hochprofessionellen Group 72 - auch Axiom genannt - zugerechnet werden, der in IT-Sicherheitskreisen ein Naheverhältnis zur chinesischen Regierung nachgesagt wird.
Es sei aber nicht auszuschließen, dass der Ursprung andernorts zu suchen sei und sich die CCleaner-Hacker schlicht im Arsenal chinesischer Hacker bedient haben. Einen Beweis für ein Mitwirken Chinas bei der Attacke gibt es bisher aber nicht - wenngleich auch die in der Konfigurationsdatei des genutzten Kontrollservers hinterlegte Zeitzone auf den Standort China hindeutet.
Betroffene Firmen sollten PCs neu aufsetzen
Der Fund der Hintertür zur Wirtschaftsspionage im CCleaner macht den ganzen Fall noch heikler als er ohnehin schon war. In Firmen, die möglicherweise infiziert wurden, sollten die IT-Verantwortlichen nicht einfach nur die Wartungs-Software deinstallieren und neu aufspielen, sondern besser gleich das ganze System aus einem früheren Backup wiederherstellen, rät Cisco.
Der Grund: Selbst nach der Löschung einer CCleaner-Installation sei es nicht auszuschließen, dass zuvor weiterer Schadcode aus dem Netz nachgeladen wurde, der sich noch irgendwo auf der Festplatte verbirgt. Zudem könne es bislang unbekannte Firmen geben, die Opfer der Attacke wurden. "Es ist fast sicher, dass sie die Liste im Verlauf ihrer Attacke verändert haben und wohl sogar noch mehr Firmen angegriffen haben", sagt Craig Williams von Cisco zu "Wired".
Die wahren Dimensionen des CCleaner-Hacks werden demnach wohl erst in den nächsten Wochen abschätzbar werden, wenn Cisco und andere IT-Security-Firmen sich eingehender mit dem Vorfall beschäftigt haben.
Kommentare
Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.
Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.
Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.