Tech- en telecombedrijven waren doelwit van CCleaner-backdoor

De backdoor die recentelijk in CCleaner werd geïnstalleerd blijkt toch malware te hebben verspreid. De aanvallers hadden het vermoedelijk gemunt op tech- en telecombedrijven en hoopten met behulp van de malware intellectueel eigendom buit te maken.

Dit meldt zowel Cisco als Avast. Onlangs bleek versie 5.33 van CCleaner en versie 1.07 van CCleaner Cloud een backdoor te bevatten, waarbij versie 5.33 van CCleaner via de officiële downloadserver van CCleaner-ontwikkelaar Piriform werd verspreid. Piriform werd eerder dit jaar overgenomen door Avast. Tot nu toe werd aangenomen dat via deze backdoor geen malware werd verspreid, maar dit blijkt nu dus toch het geval te zijn.

Tech- en telecombedrijven getroffen

Op een Command & Control-server zijn aanwijzingen gevonden dat de aanvallers malware hebben verspreid. Cisco meldt dat de aanvallers het voorzien hadden op grote tech- en telecombedrijven, waaronder Singtel, HTC, Samsung, Sony, Gauselmann VMware, Intel, Microsoft, Cisco, Vodafone, Linksys, Epson, Akamai Technologies en D-Link. Avast bevestigt dit en meldt dat uit logbestanden op deze server blijkt dat de malware naar tenminste twintig systemen van acht verschillende bedrijven is verspreid. Avast heeft contact opgenomen met de getroffen bedrijven, maar wil hun namen niet openbaar maken. Cisco vermoedt dat de aanvallers het voorzien hadden op intellectueel eigendom.

Opvallend is dat CCleaner gericht is op consumenten en niet zo zeer op bedrijven. Vermoedelijk probeerden de aanvallers dan ook systemen van werknemers van grote tech- en telecombedrijven te besmetten, met de hoop dat deze medewerkers de geïnfecteerde systemen zouden verbinden met het bedrijfsnetwerk. Cisco adviseert getroffen gebruikers hun systeem te herstellen met behulp van een backup of het systeem volledig opnieuw te installeren. Dit geeft gebruikers de zekerheid dat zij niet alleen de backdoor verwijderen, maar ook eventuele malware die op hun systeem is geplaatst via deze backdoor.