CCleaner-angreb var målrettet teknologivirksomheder

Angrebet bag det malware-ramte CCleaner-software var blandt andet målrettet virksomheder som Cisco og Microsoft.

Forleden kom det frem, at det relativt populære program til at rydde op på Windows-maskiner med, CCleaner, i en periode havde været inficeret med malware. Og nu har folkene hos Ciscos sikkerhedsgren Talos fundet frem til, at malwaren er et led i et større angreb, der ser ud til at have været målrettet teknologivirksomheder.

Det oplyser The Register på baggrund af et blogindlæg fra Talos, som også Version2 har kigget på.

Fra 15. august til 12. september har en udgave af en ellers korrekt signeret CCleaner kunnet downloades fra det officielle download-sted.

Avast har netop overtaget Pirisoft og i den forbindelse CCleaner-produktet. Ledelsen fra Avast har tidligere oplyst oplyst, at ca. 2,27 millioner brugere har downloadet malware-udgaven af programmet i perioden.

CTO hos Avast Ondrej Vlcek har desuden tilkendegivet overfor The Register, at han ikke mener, der er grund til helt at wipe inficerede maskiner. I stedet har maskinerne ifølge Avast kunne fikses ved at installere en ny, malware-fri udgave af CCleaner hen over den trælse version.

Talos har anbefalet en geninstallering eller en gendannelse af et inficeret system til en tilstand fra før 15. august 2017.

Tech-virksomheder

Og det kan nok være en god idé at følge rådet fra Talos - ikke mindst hvis man sidder hos en high-tech-virksomhed.

Ciscos sikkerhedsfolk har nemlig i mellemtiden kigget på, hvad de vurderer er legitime data fra den command & control-server (C2), som malwaren i CCleaner har kontaktet. Malwaren har indsamlet oplysninger fra de inficerede systemer og sendt dem retur til C2-systemet.

Såfremt de indsamlede oplysninger lever op til nogle specifikke parametre, så er der blevet udsendt yderligere malware til det inficerede system, den såkaldte secondary payload.

I data fra C2-serveren er sikkerhedsfolkene hos Talos blandt andet stødt på en liste over store teknologivirksomheder. Herunder Microsoft, Intel, Sony og Cisco selv.

Det får Talos til at konkludere, at aktøren bag angrebet er gået målrettet efter teknologivirksomhederne, og at denne aktør er ude efter værdifuld intellektuel ejendom.

Talos kan også oplyse, at den specialiserede ekstra-malware i mindst 20 tilfælde er blevet sendt ud til inficerede systemer. Talos-folkene bygger det udsagn på data fra C2-serveren over en periode på fire dage i september. Derfor forbeholdet med de 'mindst 20'.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Kim Kaos

Det var kun et spørgsmål om tid før hackerne valgte at angribe de software vi bruger for at beskytte os selv.

Hele ideen om at bruge den type software til at snige malware eller lign. ind på vores maskiner er genialt udfra en hackers synsvinkel.

  • 5
  • 0
Log ind eller Opret konto for at kommentere