Es sind neue Informationen zur CCleaner-Attacke im vergangenen Jahr bekannt geworden, die darauf hindeuten, dass die massive Datenpanne mit dem Diebstahl von Zugangsdaten begann. Entwickelt wird die Systemoptimierungssoftware vom Unternehmen Piriform, das im Juli 2017 von Avast gekauft wurde. Bei dem CCleaner-Angriff wurde 2017 das kostenlose Tool mit einer Malware manipuliert und über die offiziellen Download-Server verbreitet. Als man später die Sicherheitsverletzung feststellte, hatte die Malware im August und September 2017 bereits über 2,3 Millionen Rechner infiziert.
Weitere Details darüber, wie genau die Angreifer in den Besitz der Anmeldedaten gelangen konnten, sind nicht bekannt. Piriform geht aber davon aus, dass die Hacker im Besitz von echten Mitarbeiterdaten waren, die sie bei anderen Aktivitäten zuvor erbeutet hatten. Mit den weiterhin aktiven Anmeldedaten konnten die Angreifer sich Zugriff auf eine unbeobachtete Workstation verschaffen, auf die ein CCleaner-Entwickler über ein Remote Support Tool zugriff.
Gestohlene Zugangsdaten ausgenutzt
Nach dem erfolgreichen Einbruch in das Firmennetz installierten die Hacker im nächsten Schritt einen Keylogger, der privilegierte Admin-Daten über RDP protokollierte, um weitere IT-Systeme zu kapern und noch mehr Zugangsdaten abzugreifen. Innerhalb weniger Monate waren die Angreifer so weit, dass sie die Originalversion der CCleaner-Software auf der offiziellen Webseite durch eine Softwareversion mit Hintertür austauschen konnten, die an Millionen Nutzer auch bei weltweit führenden Unternehmen verteilt wurde.
Der CCleaner-Angriff ist ein anschauliches Beispiel dafür, warum Remote-Access-Verbindungen im Zusammenspiel mit gestohlenen Zugangsdaten zu den häufigsten Angriffsvektoren bei schwerwiegenden Sicherheitsvorfällen zählen. Bomgar empfiehlt daher die folgenden Vorsichtsmaßnahmen, um Attacken dieser Art zu verhindern oder einzudämmen:
- Alle Fernzugriffe auf einem einzigen Tool konsolidieren
- Multifaktorauthentifizierung für alle privilegierten Nutzer einfordern
- Zugangsdaten häufig ändern und austauschen
Security-by-Design mit Bomgar durchsetzen
Klar ist, dass sich die Implementierung solcher Sicherheitsmaßnahmen auf das Nutzererlebnis aller IT-Anwender auswirkt. Deshalb bieten die Secure-Access-Lösungen von Bomgar nicht nur Kontrolle, Überwachung und Verwaltung der System- und Datenzugriffe, sondern auch die Einhaltung von Produktivitätsvorgaben, damit Mitarbeiter bei der Erfüllung ihrer täglichen Aufgaben nicht behindert werden. Bomgar ermöglicht Nutzern einen schnellen und sicheren Zugriff auf IT-Systeme bei gleichzeitiger Abwehr von Bedrohungen für Zugangsdaten und Endpunkte.
