Sa, 15. Dezember 2018

IT-Firmen verwanzt

21.09.2017 10:08

CCleaner-Hack mausert sich zum Wirtschaftskrimi

Ein Hackerangriff auf das PC-Wartungswerkzeug CCleaner vom tschechischen Antiviren-Unternehmen Avast scheint dramatischere Ausmaße zu haben, als bisher gedacht. Über das Wartungsprogramm sollen die Hintermänner nicht nur Schadcode in Hunderttausende PCs eingeschleust, sondern auch gezielt Rechner in IT-Konzernen mit Spionage-Tools infiziert haben. Die Spuren führen nach einer ersten Untersuchung nach China.

Wie das IT-Magazin "Wired" berichtet, scheint es sich bei der Attacke auf CCleaner - krone.at berichtete - nicht um eine Machtdemonstration einiger Hacker zu handeln, sondern um einen schweren Fall von Wirtschaftsspionage. Über ein Update für das Wartungs-Tool schleusten Hacker Schadcode ein und infizierten Hunderttausende PCs.

Versteckter Angriff auf große IT-Unternehmen
Nach der Analyse durch Cisco Security verdichten sich nun aber die Anzeichen, dass der Angriff nicht auf Privatnutzer gerichtet war. Eine Untersuchung des Kommandoservers habe ergeben, dass dort eine Liste von 20 IT-Firmen hinterlegt war, die man über den CCleaner noch tiefer infiltrieren wollte.

Unter den Zielen finden sich Namen wie Intel, Microsoft, Google, Samsung, Sony, Akamai, HTC, Linksys und Cisco selbst. Zumindest ein Teil der Firmennetzwerke wurde bei dem Angriff tatsächlich unterwandert, die betroffenen Unternehmen habe man benachrichtigt, heißt es von Cisco.

Spuren führen nach China, Beweise fehlen
Das Ziel der CCleaner-Hacker - sie erkannten PCs in den Zielunternehmen an deren Netzwerkdomäne - sei vermutlich Wirtschaftsspionage gewesen, glaubt man bei Cisco. Und sowohl bei Cisco als auch beim russischen Antivirenspezialisten Kaspersky wurden Spuren gefunden, die den Ursprung der Attacke in China vermuten lassen.

Ein Teil des Schadcodes enthalte Passagen, die der hochprofessionellen Group 72 - auch Axiom genannt - zugerechnet werden, der in IT-Sicherheitskreisen ein Naheverhältnis zur chinesischen Regierung nachgesagt wird.

Es sei aber nicht auszuschließen, dass der Ursprung andernorts zu suchen sei und sich die CCleaner-Hacker schlicht im Arsenal chinesischer Hacker bedient haben. Einen Beweis für ein Mitwirken Chinas bei der Attacke gibt es bisher aber nicht - wenngleich auch die in der Konfigurationsdatei des genutzten Kontrollservers hinterlegte Zeitzone auf den Standort China hindeutet.

Betroffene Firmen sollten PCs neu aufsetzen
Der Fund der Hintertür zur Wirtschaftsspionage im CCleaner macht den ganzen Fall noch heikler als er ohnehin schon war. In Firmen, die möglicherweise infiziert wurden, sollten die IT-Verantwortlichen nicht einfach nur die Wartungs-Software deinstallieren und neu aufspielen, sondern besser gleich das ganze System aus einem früheren Backup wiederherstellen, rät Cisco.

Der Grund: Selbst nach der Löschung einer CCleaner-Installation sei es nicht auszuschließen, dass zuvor weiterer Schadcode aus dem Netz nachgeladen wurde, der sich noch irgendwo auf der Festplatte verbirgt. Zudem könne es bislang unbekannte Firmen geben, die Opfer der Attacke wurden. "Es ist fast sicher, dass sie die Liste im Verlauf ihrer Attacke verändert haben und wohl sogar noch mehr Firmen angegriffen haben", sagt Craig Williams von Cisco zu "Wired".

Die wahren Dimensionen des CCleaner-Hacks werden demnach wohl erst in den nächsten Wochen abschätzbar werden, wenn Cisco und andere IT-Security-Firmen sich eingehender mit dem Vorfall beschäftigt haben.

Dominik Erlinger
Dominik Erlinger

Kommentare

Eingeloggt als 
Nicht der richtige User? Logout

Willkommen in unserer Community! Eingehende Beiträge werden geprüft und anschließend veröffentlicht. Bitte achten Sie auf Einhaltung unserer Netiquette und AGB. Für ausführliche Diskussionen steht Ihnen ebenso das krone.at-Forum zur Verfügung.

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Aktuelle Schlagzeilen
Zehner-Meisterschaften
Formatänderung der Regionalliga West beschlossen!
Fußball National
0:2 gegen Wolfsburg
Nürnberg verliert wieder, Margreitter spielt durch
Fußball International
Adler disqualifiziert
Stefan Kraft Zweiter der Engelberg-Qualifikation!
Wintersport
„Dunkelrote“ Karte
Quaresma rastet nach Katz-und-Maus-Spiel aus!
Fußball International
Zeugnis für Österreich
EU-Vorsitz: Großes Lob aus Brüssel, Kritik von SPÖ
Österreich
U-Haft verhängt
Terrorverdacht: Geprügelte Frau verpfeift Gatten
Niederösterreich
Olympia-Dritte im Pech
Schwere Verletzung! Schock um ÖSV-Lady Gallhuber
Wintersport
Goalie-Schicksal
Sahin-Radlinger kehrt zu Hannover 96 zurück
Fußball International

Newsletter

Melden Sie sich hier mit Ihrer E-Mail-Adresse an, um täglich den "Krone"-Newsletter zu erhalten.