Nieuws

Avast: Ontwikkelaar CCleaner was sinds april gehackt

donderdag 5 oktober 2017, 12:17 door Redactie, 9 reacties

De aanvallers die een backdoor aan twee versies van het populaire programma CCleaner toevoegden hadden ontwikkelaar Piriform al sinds april gehackt, zo heeft anti-virusbedrijf Avast tijdens de Virus Bulletin-conferentie in Madrid laten weten. In eerste instantie werd nog over begin juli gesproken.

Volgens Avast kregen de aanvallers in april op een nog altijd onbekende wijze toegang tot de buildservers van Piriform. In juli werd vervolgens een zelf-gesigneerd certificaat gebruikt om de eerste fase van de aanval te signeren. Pas een maand later op 2 augustus verscheen de eerste buildversie van CCleaner met de backdoor, gevolgd door de gebackdoorde versie van CCleaner Cloud op 11 augustus. Het ging om CCleaner versie 5.33.6162 en CCleaner Cloud versie 1.07.3191 voor 32-bit Windows die van 15 augustus tot 12 september via de officiële downloadservers werden aangeboden. Opmerkelijk is dat er op 25 augustus versies van CCleaner in de maak waren waar de aanvallers de backdoor niet aan hadden toegevoegd.

Verder liet Avast vandaag weten dat de 'payload' van CCleaner verschilde van die in CCleaner Cloud. Zo werd de malware in CCleaner 5.33 niet geactiveerd als de gebruiker geen beheerder was. Deze controle vond niet plaats in CCleaner Cloud en de backdoor in deze versie maakte altijd verbinding met de ip-adressen van de aanvallers voor de tweede fase van de aanval. Daarbij keken de aanvallers of er aanvullende malware op het systeem moest worden geïnstalleerd. Uiteindelijk ontvingen 40 computers deze aanvullende malware. Het ging om systemen van grote techbedrijven zoals Intel, Samsung, Sony, Asus, NEC en de Zuid-Koreaanse telecomaanbieder Chunghwa Telecom.

Volgens Avast-onderzoeker Jiri Bracek laat het incident het risico zien van het whitelisten van gesigneerde programma's zoals CCleaner, met name in het geval van een 'supply chain' aanval waarbij de leverancier is gehackt. Daarnaast stelde Bracek dat een veilige infrastructuur voor het ontwikkelen van software een topprioriteit moet zijn, zo meldt Threatpost. Na ontdekking van de gebackdoorde versies kwam Avast, dat in juli eigenaar van CCleaner werd, met een update. Die update is door 10 miljoen CCleaner-gebruikers geïnstalleerd, laat journalist Joseph Cox weten.

Sterke stijging van fraude met internetbankieren in België

Staatssecretaris VS: Encryptie ondermijnt balans privacy-veiligheid

Reacties (9)

05-10-2017, 16:02 door Anoniem

En zojuist CCleaner verwijderd.

05-10-2017, 18:23 door Anoniem

en wat moet ik doen om de besmetting te verwijderen?

06-10-2017, 00:47 door Anoniem

Stel ik had dit op mijn computer, wat is er dan gebeurd? Wat doet de hack? Zijn mijn gegevens verzonden? Staat het er dan nog op? Waarom is het niet herkend door anti-virus? Ergens meer info? De rest is minder relevant voor eindgebruikers.

06-10-2017, 08:17 door Anoniem

Door Anoniem: en wat moet ik doen om de besmetting te verwijderen?

Windows opnieuw installeren.

06-10-2017, 12:04 door Anoniem

Neen, het terugzetten naar een bekend schoon herstelpunt van voor April 2017 is afdoende.

De zeer geavanceerde (waarschijnlijk staats-) hackers hadden het op informatie van grote technologische bedrijven voorzien, zoals onder meer in Nederland - Samsung Breda - , daarbij komt de gemiddelde Internetgebruiker echt niet in beeld, ook voor de eventuele second payload niet.

De aanval verliep via een gecompromitteerde C2 server die de CCleaner download omleidde naar een C&C server onder controle van de aanvallers (wellicht van een server in de buurt van LA die een onzichtbare achtergrond korte 307 redirect deed naar een C2 server in Azië, de Amerikaanse server had al brakke beveiliging en werd niet goed gemonitord).

Bij veel van de Amerikaanse infrastructuur gaan de kosten slechts gedeeltelijk voor de baat uit en gaat het weer meer van het incompetente houtje-touwtje beveiliging - daar hebben Piriform en avast natuurlijk steken laten vallen, zowel door weer te vertrouwen op onveilige outsourcing - het bekende cloud gevaar verhaal en ook slecht release management van hun acquisitie-software). Hopelijk is het een les voor velen, maar dat betwijfel ik. Managers zijn vaak 'one trick horses'.

We vertrouwen te veel dat het wel goed zit online, maar het is echt door en door verrot en onveilig.

Wanneer gaan de toezichthouders dat eens realiseren of wil men er eigenlijk niets aan doen omdat dat voor hen beter uitkomt en meer oplevert. Arme eindgebruiker! Meer kan ik er niet aan doen, dan de kat de bel aanbinden, maar ik voel me vaak een roepende in de woestijn, als echt niemand naar me luistert of er iets maar mee doet.....ieder gaat maar dom en eigenwijs verder. Op naar het volgende incident!

luntrus

08-10-2017, 21:27 door Anoniem

Poland never instaled ccleaner.. big avast shit

09-10-2017, 00:25 door Anoniem

Door Anoniem:

[..]
te vertrouwen op onveilige outsourcing - het bekende cloud gevaar verhaal en ook slecht release management van hun acquisitie-software). Hopelijk is het een les voor velen, maar dat betwijfel ik. Managers zijn vaak 'one trick horses'.

Hier denk ik dat de lopende overname door Avast fors meegespeeld heeft - Zo'n traject loopt best een tijdje, en ik denk dat bij Piriform voordien alle focus puur op de overname was, en vrijwel alles on-hold stond "want na de overname moet de nieuwe eigenaar beslissen" - en dus wordt er niets gedaan waar het bedrijf lang aan vast zit.
Of het nu gaat om mensen aannemen, platformen verbouwen, support contracten verlengen - pappen en nathouden totdat project overname gedaan is.

Dat geldt voor senior management maar werkt door naar alle lagen eronder.

Het is heel goed mogelijk dat Piriform er misschien slecht voorstond (en daarom te koop stond) - of - met de verkoop in aantocht - de cijfers gepimpt heeft door heel veel personeel te ontslaan - zodat de omzet:kosten van de recente periode er goed uitzien . Maar zelfs als dat niet speelt zijn er een hoop mensen die geen zin hebben in de onzekere of negatieve sfeer van een verkoop en zelf wel opstappen.
Gaten dus op alle lagen van de organisatie - en resterende mensen die denken 'het zal wel, na de overname gaan we hopelijk alles bijwerken en weer netjes doen' .

Ik denk dus dat in de periode april - juli (en erna) er bij Piriform niemand de security iets kon schelen - of niet wegens de sfeer, of omdat er niemand over was van een security of operations team.

De _mega_ hack bij Yahoo zie ik ook in het licht van de voortdurende financiële misere van het bedrijf .

09-10-2017, 12:40 door Anoniem

Door Anoniem:

We vertrouwen te veel dat het wel goed zit online, maar het is echt door en door verrot en onveilig.

luntrus

Roep ik ook al jaááren. Gaat nooit meer weg en en het wordt nog véél erger.

19-10-2017, 13:19 door Anoniem

Via gisteren upgedate chrome en met nieuwste update windows 10 al erop, wel gisteren nog besmet (met ghostery en ad block werkend op browser) via een reclame die mijn vriendin had aangeklikt had; lekker slim. Ze gebruikten hierbij de Periform Ccleaner hack en paste toen Ccleaner aan en probeerden hostfile aan te vallen. Alleen ik zag het gebeuren en vriendin waarschuwde me. Direct history cleanen browser, harde reboot waarna MS discrepair aan de slag ging en ik erna met admin rechten inloggen; pakte viruspakket gelijk 3 virussen aan in quarantaine gezet, die nu in Ccleaner zatten. Direct verwijderd en erna opnieuw geïnstalleerd maar mogelijk dat dus zwakke sandbok nu weer via Periform hack je naar verkeerde adds weet te brengen. Moet ik zeker weer Ege gaan gebruiken en mogelijk dus ccleaner eraf die blijft nog zwak dus want aanval is custom made op dit product uiteraard en bestaat dus nog steeds. Windows blijft onveilig maar Linux heeft ook al Torpig meproots en OSX is ook al aan te vallen. Bijna niets meer veilig helaas. Ja ethernet kabel eruit en harde schijf en 2 delen doen en alles formatteren en weer tot 1 terug brengen. Maar om dit nou meerdere keren per jaar te doen maar goed als het moet dan moet het. Want voornamelijk MBR of GPT besmettingen zijn de ergste nietwaar. Maar we zijn dus nog niet van Periform af dus. Groetjes aan Tjerk verder :)

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer