Avast veröffentlicht weitere Details zum CCleaner-Hack

Avast hat über die neu gewonnenen Erkenntnisse aus seinen Untersuchungen des Angriffs auf das weit verbreitete System-Tool CCleaner berichtet. Gestern hatte sowohl das Unternehmen, das seit einigen Wochen durch den Kauf des Entwicklers Piriform in den Besitz von CCleaner gelangte, ebenso wie weitere Sicherheitsspezialisten über Funktion der in CCleaner eingeschleusten Malware und Erkennungsmerkmale einer Infektion informiert. Im aktuellen Bericht stehen zusätzliche Erkenntnisse aus der Untersuchung des Kontrollservers der Hintermänner im Mittelpunkt.

Obwohl der Angriff rund einen Monat durchgeführt wurde, bevor er nahezu zeitgleich und unabhängig voneinander vom Sicherheitsunternehmen Morphisec und Ciscos mit IT-Sicherheitsforschung befasster Sparte Talos entdeckt wurde, fanden sich auf dem beschlagnahmten Kontrollserver nur Log-Files, die rund vier Tage zurückreichten. Ihnen konnte zunächst eine Liste mit Technologie- und Telekommunikationsunternehmen in Deutschland, Japan, Taiwan und den USA entnommen werden, die das eigentliche Ziel der Angriffe waren, für die in einer Vorstufe die mit der Backdoor infizierte Version von CCleaner ausgeliefert wurde.

Diese Liste muss nun erweitert werden: auch vier weitere Domains die zwei Firmen gehören, wurden angegriffen. Deren Namen nennt Avast nicht. Das weitere Firmen angegriffen wurden ist wahrscheinlich: Die Kommentaren zu den gefundenen Skripten erwähnten Ziel-Domains sind offenbar regelmäßig geändert worden.

Dass den Ermitteln lediglich Logs über vier Tage in die Hände fielen ist eher Zufall: Die Angreifer haben die früheren Daten nicht gezielt gelöscht, sondern taten dies, weil sie offenbar einen Einstiegserver verwendet haben, der nicht genug Speicher hatte. Daher stürzte die Datenbank ab, in der die von den infizierten Versionen von CCleaner gesammelten Daten gespeichert werden sollten. Die Angreifer loggten sich kurz darauf ein und löschten wahllos Logs, offenbar in der Hoffnung, dadurch genügend Speicherplatz frei zu machen. Wenig später wurde die Datenbank neu aufgesetzt, um das Problem zu beheben.

Spekulationen zur Herkunft der Angreifer

Die Herkunft der Angreifer liegt nach wie vor im Dunkeln. Zwar gibt es Indizien, die nach China weisen, die könnten aber bewusst hinterlassen worden sein, um eine falsche Fährte zu legen. Sicherheitsforscher Costin Raiu von Kaspersky Lab hat offenbar Code gefunden, der sowohl in der in CCleaner eingeschleusten Malware als auch in der älteren Malware “Aurora” vorkommt. Letztere wird einer chinesischen Hackergruppe zugeordnet.

Diese Vermutung untermauert die Tatsache, dass zumindest bislang keine chinesischen Firmen als Angriffsziele bekannt sind. Auch dass die Zeitzone in den PHP-Skripten, die zum Befüllen der Datenbank geschrieben wurden, China zugeordnet werden kann, ist ein Hinweis. Dass auf den Kontrollserver mehrmals von IP-Adressen in Japan zugegriffen wurde, sehen die Forscher nicht als Widerspruch: Wahrscheinlich wurden dafür anderweitig infizierte Maschinen Unbeteiligter benutzt. Eindeutig bestimmt ist die Herkunft der Angreifer jedoch längst noch nicht.

Einen zunächst befremdlichen Fakt stufen die Ermittler inzwischen schlicht als Fehler ein: In der Liste der Angriffsziele fand sich auch die Niederlassung eines koreanischen Konzerns in der Slowakei. An der hatten sie aber wahrscheinlich kein Interesse. Vielmehr dürfte es sich um eine Verwechslung handeln: Anstatt der korrekten Domainendung .kr (für Südkorea) ist wahrscheinlich die der Slowakei zugeordnete und in dem Fall falsche .sk angegeben worden.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.