CCleaner sollte vermutlich erneut als „Trojanisches Pferd“ für Schadecode verwendet werden

Wie AVAST gestern in einem Blog Beitrag mitteilte, wurde seit 14.05.2019 versucht, über das Firmeneigene VPN auf das AVAST Netzwerk zuzugreifen, wie eine Firmeninterne Analyse bestätigt hatte.

Wie weiter mitgeteilt wurde, wurden am 23. September eine weitere verdächtige Aktivität im Netzwerk festgestellt. Daraufhin wurde eine sofortige umfassende Untersuchung, zusammen mit dem tschechischen Nachrichtendienst BIS, sowie mit einem externen Forensikteam eingeleitet. Weiterhin heißt es, Zitat:

„Wir sahen am 1. Oktober Hinweise auf Aktivitäten auf MS ATA/VPN, als wir einen MS ATA-Alert bezüglich einer bösartigen Replikation von Directory-Services via einer internen IP, die zu unseren VPN-Adressen gehörte, erneut prüften. Dieser war zunächst als False Positive eingestuft worden. Jedoch hatte der Nutzer, dessen Zugangsdaten offenbar kompromittiert wurden, keine Domain-Admin-Rechte. Dennoch konnte der Angreifer durch eine erfolgreiche Rechteerweiterung Domain-Admin-Rechte gewinnen. Die Verbindung lief über eine in Großbritannien gehostete IP und wir stellten fest, dass der Angreifer auch andere Endpunkte über den gleichen VPN-Anbieter nutzte.“

Durch weitere Analysen wurde herausgefunden, dass mit kompromittierten Zugangsdaten über ein temporäres VPN-Profil, das keine Zwei-Faktor-Authentifizierung erforderte, auf das interne Netzwerk zugegriffen wurde. Am 4. Oktober wurde diese Aktivität erneut beobachtet.

Aufgrund der vorgenannten Ereignisse hat AVAST dann, die für den 25. September geplante Veröffentlichung von CCleaner gecancelt und angefangen, ältere Releases auf bösartige Bedrohungen zu überprüfen, sowie diese dann zu verifizieren. Weitere vorbeugende Maßnahmen waren, zunächst ein sauberes Produktupdate neu zu signieren, was dann am 15. Oktober über ein automatisches Update an die Nutzer verteilt wurde, und dann das vorherige Zertifikat zu widerrufen.

Weiter teilte AVAST zu dem mutmaßlichen Angriff mit:
Aus den bisher gesammelten Hinweisen wird ersichtlich, dass dies ein extrem ausgereifter Angriffsversuch gegen uns war – mit der Absicht, keine Spuren des Angreifers oder dessen Ziel zu hinterlassen, sowie dass der Angreifer mit äußerster Vorsicht vorging, um nicht entdeckt zu werden. Wir wissen nicht, ob es sich beim Angreifer um den gleichen wie 2017 handelte und wahrscheinlich werden wir dies nie sicher wissen können. Daher haben wir diesen Angriffsversuch „Abiss“ (abgeleitet von engl. Abyss / Abgrund) genannt.

Abschließend gab AVAST bekannt, weiterhin umfassend ihre Beobachtungsmechanismen und Visibilität innerhalb ihrer Netzwerke und Systeme prüfen, um die Erkennungs- und Reaktionszeiten zu beschleunigen. Auch würden die Logs weiter untersucht, um die Bewegungen des Angreifers sowie dessen Vorgehensweise zu analysieren – gemeinsam mit der Cybersecurity-Industrie und den Strafverfolgungsbehörden, denen AVAST vertraulich detailliertere Hinweise, inklusive der IP-Adressen des Angreifers, mitgeteilt habt.

Ich weiß nicht, wie ihr darüber denkt, aber ich halte es schon für höchst bedenklich, zumal es nicht der erste Vorfall dieser Art war, wenn ein Antiviren Spezialist es nicht schafft, sich gegen Angreifer zu schützen, die es auf ein Tool abgesehen haben, das zum einen immer wieder zu hitzigen Diskussionen führt und zum anderen, zuletzt wegen Telemetrie und anderen Ungereimtheiten, es immer wieder in die Schlagzeilen schafft.

Wenn ein spezialisierter Software Hersteller es nicht schafft, sich vor Bedrohungen zu schützen, wie sicher mag dann der „unbedarfte“ User wohl sein? Und jetzt ist eure Meinung dazu gefragt.

Danke an Cluster Head für den Beitrag.