CCleaner-besmetting zou poging tot spionage zijn

Dreigingen zoals Talos (Cisco) ze zietHet zou de digitale inbrekers die het gratis antiviruspro-gramma CCleaner hebben besmet niet (alleen) te doen zijn geweest om toegang te krijgen tot de computers van de gebruikers van dat programma, maar om spionage. Door het besmetten van het programma zouden de krakers bij zeker twintig techbedrijven pogingen hebben gedaan om toegang te krijgen tot de netwerken van die bedrijven.

Eerder deze week maakten de bedrijven Morphisec en Cisco bekend dat CCleaner was gekaapt door krakers. Ze veranderden de code van het programma waardoor ze toegang zouden kunnen krijgen tot computers en netwerken. Die aangepaste versie stelden ze via een eigen server gratis ter beschikking aan niets vermoedende gebruikers. Zo’n 700 000 computers zouden zijn besmet met de kwaadaardige versie van CCleaner.Eerder was sprake van een paar miljoen.
Onderzoekers van Talos, de veiligheidsafdeling van Cisco, hebben nu de server geanalyseerd waar de krakers gebruik van maakten. Daar zouden ze bewijs gevonden hebben dat de digitale inbrekers zouden hebben geprobeerd via de door hen gecreëerde achterdeurtjes, onderdeel van de kwaadaardige code, in te breken bij verschillende techbedrijven, waaronder niet de geringste zoals Google, Microsoft, Samsung, Sony en Cisco zelf.

Volgens Craig Williams van Talos zou de krakers in de helft van de rond twintig bedrijven er ook daadwerkelijk in geslaagd zijn vaste voet in het netwerk te krijgen. De Talos-onderzoekers zijn ervan overtuigd dat het de digitale inbrekers ging om spionage. “Heel wat bedrijven zijn het slachtoffer geworden. Nu weten we dat de aanval was bedoeld als sleepnet om die twintig bedrijven verspreid over de wereld aan te vallen en waardevolle informatie te stelen”, zegt Williams. Cisco houdt de namen van de getroffen bedrijven geheim.

China?

Het is onduidelijk wie er achter de aanval zit, maar de verdenking van sommigen gaat richting China. De kwaadaardige code die de aanvallers gebruikten bevat coderegels die ook voorkomen in maaksels van de e-kraakgroep die wordt aangeduid met Groep 72 of Axiom. Dat zou een operatie van de Chinese overheid zijn, zo stelde het bedrijf Novetta in 2015. Volgens Cisco wil het (her)gebruik van coderegels niet meteen zeggen dat er banden zijn tussen de groepen. Wel zou het configuratiebestand op de onderzochte krakersserver wijzen op het gebruik van de Chinese tijdzone, maar ook dat is natuurlijk geen bewijs.

Cisco stelt dat het niet voldoende is om de besmette toepassing te verwijderen. Er zou door het besmette programma een bestand op de gecorrumpeerde computer gezet kunnen zijn waarmee de krakers toch toegang tot het netwerk kunnen krijgen. Het beste is de computers geheel te wissen/reinigen en opnieuw alles te installeren van voor de tijd dat de besmette versie van CCleaner werd binnengehaald. Williams: “Als je de boel niet herstelt met je reservekopie, loop je het grote risico dat de computer nog steeds niet is ontdaan van malware.”

Bron: Wired

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *