image

CCleaner-ontwikkelaar Piriform werd gehackt via TeamViewer

woensdag 18 april 2018, 10:46 door Redactie, 2 reacties

De aanvallers die vorig jaar maart softwarebedrijf Piriform hackten en een backdoor aan de populaire tool CCleaner toevoegden wisten via het programma TeamViewer toegang tot het bedrijfsnetwerk te krijgen. Dat meldt anti-virusbedrijf Avast, dat Piriform vorig jaar juli overnam.

De besmette versie met backdoor werd uiteindelijk door 2,27 miljoen gebruikers gedownload. De eerste fase van de malware was om informatie over CCleaner-gebruikers te verzamelen, zoals de naam van de computer, geïnstalleerde software en actieve processen. De tweede fase bestond uit het downloaden van aanvullende malware. Dit werd echter bij een select aantal machines gedaan. Uiteindelijk ontvingen 40 computers deze aanvullende malware. Het ging om systemen van grote techbedrijven zoals Intel, Samsung, Sony, Asus, NEC en de Zuid-Koreaanse telecomaanbieder Chunghwa Telecom.

De aanvallers waren uiteindelijk ook van plan om een derde fase uit te voeren, waarbij er een keylogger op besmette systemen zou worden geïnstalleerd. Dat liet Avast vorige maand weten. Nu meldt de virusbestrijder dat het heeft ontdekt hoe de aanvallers toegang tot het Piriform-netwerk kregen. Ze maakten daarbij gebruik van het programma TeamViewer dat op één van de ontwikkelsystemen stond geinstalleerd. TeamViewer is een programma om computers op afstand mee te beheren.

Volgens Avast wisten de aanvallers in één keer op de ontwikkelmachine in te loggen, wat inhoudt dat ze over de inloggegevens beschikten. Hoe de aanvallers de inloggegevens in handen hebben gekregen is onbekend. "We kunnen alleen speculeren dat de aanvallers inloggegevens hebben gebruikt om toegang tot het TeamViewer-account te krijgen die de Piriform-ontwikkelaar voor een andere dienst heeft gebruikt en mogelijk zijn gelekt", aldus Ondrej Vlcek van Avast.

Uit de logbestanden blijkt dat TeamViewer op 11 maart 2017 om 5 uur 's ochtends werd benaderd, toen de computer van de ontwikkelaar onbeheerd was achtergelaten maar nog steeds draaide. De aanvallers probeerden twee kwaadaardige dll-bestanden te installeren. Doordat ze niet over beheerdersrechten beschikten mislukte dit. Bij de derde poging wisten ze de dll-bestanden via een VBScript te installeren.

De volgende dag op 12 maart wisten de aanvallers zich lateraal naar een tweede computer te bewegen. Dit gebeurde buiten de werkuren van Piriform. De aanvallers openden een backdoor via Microsofts Remote Desktopdienst en installeerden malware in het Windows Register. Het ging om een oudere versie van de tweede fase malware die uiteindelijk onder de 40 CCleaner-gebruikers werd geïnstalleerd.

Twee dagen later gingen de aanvallers terug naar de eerste computer en infecteerden ook die met een oudere versie van de tweede fase malware. Na weken van inactiviteit werd er opnieuw malware op de eerste besmette computer geïnstalleerd. Avast vermoedt dat de aanvallers tijdens de periode van inactiviteit de andere malware hebben ontwikkeld. De aanvallers gebruikten verschillende technieken om andere Piriform-systemen te infiltreren, waaronder wachtwoorden die via een keylogger waren verzameld en het inloggen met beheerdersrechten via de Windows Remote Desktopdienst. In totaal waren de aanvallers vijf maanden actief op het Piriform-netwerk.

Reacties (2)
19-04-2018, 15:35 door Anoniem

"Doordat ze niet over beheerdersrechten beschikten mislukte dit. Bij de derde poging wisten ze de dll-bestanden via een VBScript te installeren."

Kan dat? Kan je via VBScript admin worden? Dat lijkt me een gigantisch groot gat in de Windows security.
24-04-2018, 12:48 door Anoniem
ja dat kan..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.