2301490

CCleaner-Attacke: Diesen Unternehmen galt der Angriff wirklich

26.09.2017 | 11:55 Uhr |

Der Krimi geht weiter: Jetzt ist klar, welchen Unternehmen der CCleaner-Angriff galt. Es traf auch eine deutsche Firma.

Der Angriff, der CCleaner mit einer Malware manipuliert und über die offiziellen Download-Server verbreitet hatte, galt in erster Linie nicht den Privatnutzern, sondern vor allem Unternehmen. Bereits in der vergangenen Woche hatten die Besitzer von CCleaner erklärt, dass große Technologie- und Telekommunikationsunternehmen in Deutschland, Großbritannien, Japan, Taiwan und den USA das Ziel der Attacke waren. In einem neuen Blog-Eintrag von Avast wird nun verraten, welche Unternehmen genau im Visier waren.

CCleaner ist vor allem ein Tool für Privatnutzer, welches aber auch von den Nutzern auf Unternehmensrechnern verwendet wird. Das wollten die Angreifer ausnutzen, um sich über die in CCleaner versteckte Malware Zugriff auf das Unternehmensnetzwerk zu verschaffen. Dazu sollte ein Kontakt zu einem Command-and-Control-Server (CnC) hergestellt werden, um zusätzlichen schädlichen Code herunterzuladen. Die Angreifer machten allerdings einen Fehler: Aufgrund einer zu kleinen Festplatte – wie wir bereits berichteten -  stürzte die Datenbank ab und musste neu aufgesetzt werden. Daher enthielt die Datenbank bei Aufdeckung des Vorfalls nur Daten, die innerhalb von dreieinhalb Tagen aufgezeichnet worden waren. So der Stand der Ermittlungen am vergangenen Freitag.

Die weiteren Untersuchungen haben nun ergeben, dass die Angreifer noch ein Backup von dem abgestürzten CnC-Server auf einen anderen Server übertrugen, ehe die Datenbank neu installiert wurde. Dieser Server konnte von den Sicherheitsexperten gemeinsam mit den US-Ermittlungsbehörden und einem Hosting-Provider ermittelt werden. Er trug die Serveradresse 216.126.225.163. Und auf diesem Server fanden sich Daten, die ab dem 18. August während des Angriffs von den Angreifern abgegriffen worden waren.

Die betroffenen Unternehmen - Gauselmann einziges deutsches Unternehmen

Dank dieses Fundes steht nun fest: Insgesamt wurde der CnC-Server exakt 5.686.677 Mal von angegriffenen Rechnern kontaktiert. Ausgehend von den MAC-Adressen kommunizierten 1.646.536 Rechner mit dem Server. Die zweite Stufe des Payloads wurde an nur 40 Rechner übermittelt. Letztendlich wurden also nur 40 potentielle Rechner mit einem tatsächlich schädlichen Code infiziert. Und laut diesen Daten waren folgende Unternehmen beziehungsweise deren Domains betroffen:

  • ·Chunghwa Telecom (Taiwan): 13 Rechner

  • ·Nec (Japan): 10 Rechner

  • ·Samsung (Südkorea): 5 Rechner

  • ·Asus (Taiwan): 2 Rechner

  • ·Fujitsu (Japan): 2 Rechner

  • ·Sony (Japan): 2 Rechner

  • ·Infoview (USA): 1 Rechner

  • ·O2 (Großbritannien): 1 Rechner

  • ·Singtel (Singapur): 1 Rechner

  • ·Intel (USA): 1 Rechner

  • ·VMware (USA): 1 Rechner

  • ·Gauselmann (Deutschland): 1 Rechner

Alle betreffenden Unternehmen waren bereits in der vergangenen Woche über den Vorfall informiert worden. Bei 40 Rechnern von 2,27 Millionen Rechnern, auf denen die infizierte CCleaner-Version installiert war, wurden also letztendlich 0,0018 Prozent aller Rechner tatsächlich angriffen, wie Avast vorrechnet.

Durch die Entdeckung und schnelle Bekämpfung des Angriffs konnte letztendlich Schlimmeres verhindert werden. Die Analyse des gefundenen Servers ergab auch, dass viele weitere namhafte Unternehmen angegriffen werden sollten, letztendlich aber an keinen der Rechner der zweite Payload erfolgreich übermittelt wurde. Die Angreifer hatten es demnach unter anderem auch auf folgende Unternehmen abgesehen: Microsoft, Vodafone, HTC, Linksys, Epson, Dlink, Akamai, MSI, Cisco und Godaddy.


Jagd nach den Angreifern geht weiter

Ermittelt wird weiterhin, wer hinter den Angriff stecken könnte. In der letzten Woche gab es erste – sehr vage -  Hinweise darauf, dass die Angreifer aus China stammen könnten. Avast räumt ein, dass die Hinweise nun mal keine Beweise seien, weil derartige Hinweise auch von den Angreifern platziert worden sein könnten, um Ermittler auf die falsche Spur zu führen. Aus diesem Grund hat sich Avast etwas genauer die zirka 83 Zugriffe auf den CnC-Server durch die Angreifer angeschaut, die für Wartungsaufgaben hergestellt wurden. Anhand der Zeitpunkte der Zugriffe versuchte man dann abzuleiten, aus welchem Land die Person stammen könnte, die auf den CnC-Server zugriff. Ausgegangen wird von einem normalen Arbeitstag eines IT-Mitarbeiters, der morgens gegen 8 oder 9 Uhr anfängt für 8 Stunden zu arbeiten, dann etwa 4 bis 5 Stunden inaktiv ist und dann nochmal am Abend die eine oder andere Verbindung zu einem Server herstellt.

Den Serverlogs folgend könnte der oder die Angreifer aus Russland, den mittleren Osten, Zentral-Asien oder Indien stammen. Auffällig ist, dass keinerlei Zugriffe am Samstag oder Sonntag erfolgten. Daher wird auch davon ausgegangen, dass der/die Angreifer nicht aus einem arabischen Land stammen. Andrerseits könnte es natürlich sein, dass unterschiedliche Angreifer aus verschiedenen Ländern und damit auch Zeitzonen beteiligt waren. Andrerseits, so betont Avast, sei auch auffällig, dass keine Rechner aus den verdächtigten Ländern angegriffen wurden, obwohl es auch dort große Telekommunikations- und Technik-Unternehmen gibt.
 
Hier zum Überblick unsere bisherigen Berichte über die CCleaner-Attacke:


18.09.2017: Malware in CCleaner-Update

19.09.2017: CCleaner-Panne: Das müssen Sie über den Vorfall wissen!

21.09.2017: CCleaner-Attacke: Angreifer hatten schlimmere Pläne

22.09.2017: CCleaner-Attacke: Angreifer nutzten zu kleine Festplatte

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2301490