Avast: Ontwikkelaar CCleaner was sinds april gehackt
De aanvallers die een backdoor aan twee versies van het populaire programma CCleaner toevoegden hadden ontwikkelaar Piriform al sinds april gehackt, zo heeft anti-virusbedrijf Avast tijdens de Virus Bulletin-conferentie in Madrid laten weten. In eerste instantie werd nog over begin juli gesproken.
Volgens Avast kregen de aanvallers in april op een nog altijd onbekende wijze toegang tot de buildservers van Piriform. In juli werd vervolgens een zelf-gesigneerd certificaat gebruikt om de eerste fase van de aanval te signeren. Pas een maand later op 2 augustus verscheen de eerste buildversie van CCleaner met de backdoor, gevolgd door de gebackdoorde versie van CCleaner Cloud op 11 augustus. Het ging om CCleaner versie 5.33.6162 en CCleaner Cloud versie 1.07.3191 voor 32-bit Windows die van 15 augustus tot 12 september via de officiële downloadservers werden aangeboden. Opmerkelijk is dat er op 25 augustus versies van CCleaner in de maak waren waar de aanvallers de backdoor niet aan hadden toegevoegd.
Verder liet Avast vandaag weten dat de 'payload' van CCleaner verschilde van die in CCleaner Cloud. Zo werd de malware in CCleaner 5.33 niet geactiveerd als de gebruiker geen beheerder was. Deze controle vond niet plaats in CCleaner Cloud en de backdoor in deze versie maakte altijd verbinding met de ip-adressen van de aanvallers voor de tweede fase van de aanval. Daarbij keken de aanvallers of er aanvullende malware op het systeem moest worden geïnstalleerd. Uiteindelijk ontvingen 40 computers deze aanvullende malware. Het ging om systemen van grote techbedrijven zoals Intel, Samsung, Sony, Asus, NEC en de Zuid-Koreaanse telecomaanbieder Chunghwa Telecom.
Volgens Avast-onderzoeker Jiri Bracek laat het incident het risico zien van het whitelisten van gesigneerde programma's zoals CCleaner, met name in het geval van een 'supply chain' aanval waarbij de leverancier is gehackt. Daarnaast stelde Bracek dat een veilige infrastructuur voor het ontwikkelen van software een topprioriteit moet zijn, zo meldt Threatpost. Na ontdekking van de gebackdoorde versies kwam Avast, dat in juli eigenaar van CCleaner werd, met een update. Die update is door 10 miljoen CCleaner-gebruikers geïnstalleerd, laat journalist Joseph Cox weten.
De zeer geavanceerde (waarschijnlijk staats-) hackers hadden het op informatie van grote technologische bedrijven voorzien, zoals onder meer in Nederland - Samsung Breda - , daarbij komt de gemiddelde Internetgebruiker echt niet in beeld, ook voor de eventuele second payload niet.
De aanval verliep via een gecompromitteerde C2 server die de CCleaner download omleidde naar een C&C server onder controle van de aanvallers (wellicht van een server in de buurt van LA die een onzichtbare achtergrond korte 307 redirect deed naar een C2 server in Azië, de Amerikaanse server had al brakke beveiliging en werd niet goed gemonitord).
Bij veel van de Amerikaanse infrastructuur gaan de kosten slechts gedeeltelijk voor de baat uit en gaat het weer meer van het incompetente houtje-touwtje beveiliging - daar hebben Piriform en avast natuurlijk steken laten vallen, zowel door weer te vertrouwen op onveilige outsourcing - het bekende cloud gevaar verhaal en ook slecht release management van hun acquisitie-software). Hopelijk is het een les voor velen, maar dat betwijfel ik. Managers zijn vaak 'one trick horses'.
We vertrouwen te veel dat het wel goed zit online, maar het is echt door en door verrot en onveilig.
Wanneer gaan de toezichthouders dat eens realiseren of wil men er eigenlijk niets aan doen omdat dat voor hen beter uitkomt en meer oplevert. Arme eindgebruiker! Meer kan ik er niet aan doen, dan de kat de bel aanbinden, maar ik voel me vaak een roepende in de woestijn, als echt niemand naar me luistert of er iets maar mee doet.....ieder gaat maar dom en eigenwijs verder. Op naar het volgende incident!
luntrus
[..]
te vertrouwen op onveilige outsourcing - het bekende cloud gevaar verhaal en ook slecht release management van hun acquisitie-software). Hopelijk is het een les voor velen, maar dat betwijfel ik. Managers zijn vaak 'one trick horses'.
Hier denk ik dat de lopende overname door Avast fors meegespeeld heeft - Zo'n traject loopt best een tijdje, en ik denk dat bij Piriform voordien alle focus puur op de overname was, en vrijwel alles on-hold stond "want na de overname moet de nieuwe eigenaar beslissen" - en dus wordt er niets gedaan waar het bedrijf lang aan vast zit.
Of het nu gaat om mensen aannemen, platformen verbouwen, support contracten verlengen - pappen en nathouden totdat project overname gedaan is.
Dat geldt voor senior management maar werkt door naar alle lagen eronder.
Het is heel goed mogelijk dat Piriform er misschien slecht voorstond (en daarom te koop stond) - of - met de verkoop in aantocht - de cijfers gepimpt heeft door heel veel personeel te ontslaan - zodat de omzet:kosten van de recente periode er goed uitzien . Maar zelfs als dat niet speelt zijn er een hoop mensen die geen zin hebben in de onzekere of negatieve sfeer van een verkoop en zelf wel opstappen.
Gaten dus op alle lagen van de organisatie - en resterende mensen die denken 'het zal wel, na de overname gaan we hopelijk alles bijwerken en weer netjes doen' .
Ik denk dus dat in de periode april - juli (en erna) er bij Piriform niemand de security iets kon schelen - of niet wegens de sfeer, of omdat er niemand over was van een security of operations team.
De _mega_ hack bij Yahoo zie ik ook in het licht van de voortdurende financiële misere van het bedrijf .
We vertrouwen te veel dat het wel goed zit online, maar het is echt door en door verrot en onveilig.
luntrus
Roep ik ook al jaááren. Gaat nooit meer weg en en het wordt nog véél erger.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.