Di, 19. Juni 2018

IT-Firmen verwanzt

21.09.2017 10:08

CCleaner-Hack mausert sich zum Wirtschaftskrimi

Ein Hackerangriff auf das PC-Wartungswerkzeug CCleaner vom tschechischen Antiviren-Unternehmen Avast scheint dramatischere Ausmaße zu haben, als bisher gedacht. Über das Wartungsprogramm sollen die Hintermänner nicht nur Schadcode in Hunderttausende PCs eingeschleust, sondern auch gezielt Rechner in IT-Konzernen mit Spionage-Tools infiziert haben. Die Spuren führen nach einer ersten Untersuchung nach China.

Wie das IT-Magazin "Wired" berichtet, scheint es sich bei der Attacke auf CCleaner - krone.at berichtete - nicht um eine Machtdemonstration einiger Hacker zu handeln, sondern um einen schweren Fall von Wirtschaftsspionage. Über ein Update für das Wartungs-Tool schleusten Hacker Schadcode ein und infizierten Hunderttausende PCs.

Versteckter Angriff auf große IT-Unternehmen
Nach der Analyse durch Cisco Security verdichten sich nun aber die Anzeichen, dass der Angriff nicht auf Privatnutzer gerichtet war. Eine Untersuchung des Kommandoservers habe ergeben, dass dort eine Liste von 20 IT-Firmen hinterlegt war, die man über den CCleaner noch tiefer infiltrieren wollte.

Unter den Zielen finden sich Namen wie Intel, Microsoft, Google, Samsung, Sony, Akamai, HTC, Linksys und Cisco selbst. Zumindest ein Teil der Firmennetzwerke wurde bei dem Angriff tatsächlich unterwandert, die betroffenen Unternehmen habe man benachrichtigt, heißt es von Cisco.

Spuren führen nach China, Beweise fehlen
Das Ziel der CCleaner-Hacker - sie erkannten PCs in den Zielunternehmen an deren Netzwerkdomäne - sei vermutlich Wirtschaftsspionage gewesen, glaubt man bei Cisco. Und sowohl bei Cisco als auch beim russischen Antivirenspezialisten Kaspersky wurden Spuren gefunden, die den Ursprung der Attacke in China vermuten lassen.

Ein Teil des Schadcodes enthalte Passagen, die der hochprofessionellen Group 72 - auch Axiom genannt - zugerechnet werden, der in IT-Sicherheitskreisen ein Naheverhältnis zur chinesischen Regierung nachgesagt wird.

Es sei aber nicht auszuschließen, dass der Ursprung andernorts zu suchen sei und sich die CCleaner-Hacker schlicht im Arsenal chinesischer Hacker bedient haben. Einen Beweis für ein Mitwirken Chinas bei der Attacke gibt es bisher aber nicht - wenngleich auch die in der Konfigurationsdatei des genutzten Kontrollservers hinterlegte Zeitzone auf den Standort China hindeutet.

Betroffene Firmen sollten PCs neu aufsetzen
Der Fund der Hintertür zur Wirtschaftsspionage im CCleaner macht den ganzen Fall noch heikler als er ohnehin schon war. In Firmen, die möglicherweise infiziert wurden, sollten die IT-Verantwortlichen nicht einfach nur die Wartungs-Software deinstallieren und neu aufspielen, sondern besser gleich das ganze System aus einem früheren Backup wiederherstellen, rät Cisco.

Der Grund: Selbst nach der Löschung einer CCleaner-Installation sei es nicht auszuschließen, dass zuvor weiterer Schadcode aus dem Netz nachgeladen wurde, der sich noch irgendwo auf der Festplatte verbirgt. Zudem könne es bislang unbekannte Firmen geben, die Opfer der Attacke wurden. "Es ist fast sicher, dass sie die Liste im Verlauf ihrer Attacke verändert haben und wohl sogar noch mehr Firmen angegriffen haben", sagt Craig Williams von Cisco zu "Wired".

Die wahren Dimensionen des CCleaner-Hacks werden demnach wohl erst in den nächsten Wochen abschätzbar werden, wenn Cisco und andere IT-Security-Firmen sich eingehender mit dem Vorfall beschäftigt haben.

Dominik Erlinger
Dominik Erlinger

Das könnte Sie auch interessieren

Kommentar schreiben

Sie haben einen themenrelevanten Kommentar? Dann schreiben Sie hier Ihr Storyposting! Sie möchten mit anderen Usern Meinungen austauschen oder länger über ein Thema oder eine Story diskutieren? Dafür steht Ihnen jederzeit unser krone.at-Forum, eines der größten Internetforen Österreichs, zur Verfügung. Sowohl im Forum als auch bei Storypostings bitten wir Sie, unsere AGB und die Netiquette einzuhalten!
Diese Kommentarfunktion wird prä-moderiert. Eingehende Beiträge werden zunächst geprüft und anschließend veröffentlicht.

Kommentar schreiben
500 Zeichen frei
Kommentare
324

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Aktuelle Schlagzeilen

Newsletter

Melden Sie sich hier mit Ihrer E-Mail-Adresse an, um täglich den "Krone"-Newsletter zu erhalten.