· Mehdi Aroui · cybersecurity  · 2 min read

CCleaner-Backdoor 2017: Supply-Chain-Angriff auf Millionen

Angreifer platzierten eine Backdoor direkt in der offiziellen CCleaner-Version 5.33. Was passierte, wer betroffen war und warum Supply-Chain-Angriffe gefährlich sind.

Auch fast zehn Jahre später bleibt der CCleaner-Fall lehrreich, weil er Supply-Chain-Angriffe auf breiter Basis bekannt machte und die Annahme erschütterte, signierte Software sei per se vertrauenswürdig. Im September 2017 wurde bekannt, dass Angreifer eine zweistufige Backdoor direkt in die offizielle CCleaner-Version 5.33 eingeschleust hatten. Die manipulierte Software wurde über die offiziellen Piriform-Server verteilt und befand sich seit dem 15. August 2017 im Umlauf.

Was passiert ist

Die Angreifer kompromittierten die Produktionsinfrastruktur von Piriform (Hersteller von CCleaner) und modifizierten den Code der 32-Bit-Version direkt. Das Ergebnis war eine offizielle, gültig signierte Installationsdatei, die eine versteckte Backdoor enthielt.

Betroffene Versionen:

  • CCleaner 32-Bit, Version 5.33.6162
  • CCleaner Cloud, Version 1.07.3191

Zeitlicher Ablauf:

  • 15. August: Erste Verteilung der kompromittierten 32-Bit-Version
    1. August: Cloud-Version wird ebenfalls betroffen
    1. September: Piriform entdeckt verdächtigen Netzwerk-Traffic
    1. September: Automatisches Update für die Cloud-Version

Wie die Backdoor funktionierte

Der Schadcode versteckte sich in der Initialisierungsroutine und entpackte eine DLL, die folgende Informationen sammelte:

  • Computernamen
  • Liste installierter Software
  • Laufende Prozesse
  • MAC-Adressen der Netzwerkkarten
  • Information über Administrator-Privilegien

Diese Daten wurden verschlüsselt an einen externen Command-and-Control-Server übermittelt.

Was dieser Angriff zeigt

Der CCleaner-Fall ist ein klassisches Beispiel für einen Supply-Chain-Angriff. Das eigentliche Ziel war nicht die Software, sondern die Verbreitung von Malware über einen vertrauenswürdigen Kanal. Nutzer, die Software immer aus offiziellen Quellen beziehen und Updates einspielen, wurden trotzdem infiziert.

Ähnliche Angriffsmethoden wurden bei NotPetya (2017 über die ukrainische Steuersoftware MeDoc) und anderen Kampagnen beobachtet.

Empfehlung

Nutzer der betroffenen Versionen sollten umgehend auf Version 5.34 oder neuer aktualisieren. Der Command-and-Control-Server wurde offline genommen, wodurch die unmittelbare Gefahr gebannt war. Wer die betroffene Version installiert hatte, sollte zusätzlich ein vollständiges Antivirusscan durchführen.

Für Unternehmen unterstreicht dieser Vorfall, warum Software-Updates zentralisiert verwaltet werden sollten. Patch-Management-Lösungen prüfen vor der Verteilung, ob Updates aus vertrauenswürdigen Quellen stammen, und ermöglichen eine schnelle Reaktion im Ernstfall.

    Share:
    Back to Blog

    Related Posts

    View All Posts »
    NIS2: Cybersicherheitspflichten für KMU im Überblick

    NIS2: Cybersicherheitspflichten für KMU im Überblick

    NIS2 trifft mehr Unternehmen als erwartet: Wer ab 50 Mitarbeitenden in regulierten Sektoren tätig ist, ist betroffen. Eine Einordnung für Entscheider, wer fällt darunter, was sofort zu tun ist und welche Haftungsrisiken für Geschäftsführer bestehen.