Der Vorfall
Im September 2017 gab Piriform, der Hersteller des beliebten Windows-Reinigungstools CCleaner (das kurz zuvor von der Sicherheitsfirma Avast übernommen worden war), bekannt, dass die 32-Bit-Version von CCleaner 5.33.6162 und CCleaner Cloud 1.07.3191 mit einer Backdoor verseucht waren. Die kompromittierten Versionen wurden zwischen dem 15. August und dem 12. September 2017 über die offiziellen Download-Server verteilt.
CCleaner war zu diesem Zeitpunkt eines der beliebtesten kostenlosen Windows-Tools der Welt mit über 2 Milliarden Downloads insgesamt und rund 5 Millionen neuen Installationen pro Woche. Die infizierte Version wurde von 2,27 Millionen Nutzern heruntergeladen und installiert.
Sicherheitsforscher von Cisco Talos entdeckten die Kompromittierung bei einer routinemäßigen Überprüfung. Die Analyse enthüllte, dass der Angriff in Wahrheit ein gezielter Spionageangriff war: Von den 2,27 Millionen infizierten Rechnern wählten die Angreifer nur 40 Computer in Netzwerken großer Tech-Unternehmen für die zweite Angriffsstufe aus. Zu den Zielen gehörten Google, Microsoft, Samsung, Sony, Intel, VMware, HTC, Linksys, D-Link und die deutsche Gauselmann AG.
Der Angriff wurde später der chinesischen Hackergruppe Axiom (auch APT17 oder Barium genannt) zugeschrieben.
Wie der Angriff funktionierte
Der CCleaner-Angriff war ein präzise orchestrierter mehrstufiger Angriff mit massenhafter Erstinfektion und chirurgisch gezielter Nachladung:
Stufe 1 – Kompromittierung des Build-Systems: Die Angreifer drangen in die Entwicklungsumgebung von Piriform ein – wahrscheinlich schon Monate vor der Übernahme durch Avast. Sie manipulierten den Kompilierungsprozess so, dass die Malware (genannt Floxif) direkt in die CCleaner-Binary eingebettet wurde, bevor diese signiert wurde. Die kompromittierte Datei trug daher eine gültige digitale Signatur von Piriform.
Stufe 2 – Massenhafte Verteilung: Die infizierte CCleaner-Version wurde über die offiziellen Piriform-Server verteilt. 2,27 Millionen Nutzer installierten sie als normales Update oder als Neuinstallation. Kein Virenscanner schlug Alarm.
Stufe 3 – Datensammlung: Die Floxif-Malware sammelte auf jedem infizierten Rechner Systeminformationen: Computername, IP-Adresse, installierte Software, laufende Prozesse, Netzwerkkonfiguration und ob der Benutzer Administratorrechte hatte. Diese Daten wurden verschlüsselt an einen Command-and-Control-Server gesendet.
Stufe 4 – Gezielte Auswahl: Die Angreifer analysierten die eingehenden Daten und identifizierten 40 besonders interessante Ziele – Computer in den Netzwerken großer Technologieunternehmen. Nur auf diese 40 Rechner wurde die zweite Stufe nachgeladen.
Stufe 5 – Nachladen der Spionage-Payload: Die zweite Stufe installierte eine ausgefeilte Backdoor, die den Angreifern vollständige Fernsteuerung über das System ermöglichte. Diese Backdoor nutzte Techniken, die zuvor in Angriffen der Axiom-Gruppe beobachtet worden waren – unter anderem Code-Fragmente, die auch in der Backdoor Missl gefunden wurden.
Stufe 6 – Tiefe Infiltration: Auf den 40 Zielsystemen konnten sich die Angreifer lateral in den Unternehmensnetzwerken bewegen, weitere Zugangsdaten stehlen und auf proprietären Quellcode, interne Dokumente und Geschäftsgeheimnisse zugreifen.
Warum Virenscanner versagten
Die CCleaner-Kompromittierung zeigte auf besonders deutliche Weise, warum Virenscanner gegen Supply-Chain-Angriffe machtlos sind:
Die Malware war direkt in die CCleaner-Binary eingebettet und mit einer gültigen Piriform-Signatur versehen. Aus Sicht jedes Sicherheitstools handelte es sich um die echte, vertrauenswürdige CCleaner-Software. Es gab keinen separaten Dropper, keine verdächtige Datei, keinen auffälligen Download – die Malware war CCleaner.
Erschwerend kam hinzu, dass CCleaner selbst ein Systemtool war. Es greift per Design auf Systemdateien zu, liest Registry-Einträge, modifiziert temporäre Ordner und kommuniziert mit dem Internet für Update-Checks. All diese Verhaltensweisen, die bei einer unbekannten Anwendung Alarm ausgelöst hätten, waren bei CCleaner völlig normal und erwartet.
Die C2-Kommunikation der Floxif-Malware war als regulärer CCleaner-Telemetriedatenverkehr getarnt. Die gesendeten Informationen – Systemname, installierte Software, IP-Adresse – wirkten wie Standard-Analyse-Daten, die viele Softwareprodukte sammeln.
Selbst nach der Entdeckung konnten viele Scanner die infizierte Version zunächst nicht von der sauberen unterscheiden, da der Schadcode so tief in den regulären Programmcode integriert war.
So hätte Deep Freeze geschützt
Deep Freeze hätte den CCleaner-Angriff auf mehreren Ebenen neutralisiert:
Die infizierte Version überlebt keinen Neustart: Selbst wenn ein Nutzer die kompromittierte CCleaner-Version 5.33 installiert hätte – nach dem nächsten Neustart wäre das System auf den Zustand vor der Installation zurückgesetzt worden. Die Floxif-Malware hätte keine Möglichkeit gehabt, dauerhaft auf dem System zu verbleiben.
Datensammlung wird auf ein Minimum reduziert: Die Malware sammelte Systemdaten, um interessante Ziele zu identifizieren. Auf einem eingefrorenen System, das täglich zurückgesetzt wird, bleibt das Zeitfenster für diese Datensammlung extrem kurz. Zudem werden bei jedem Neustart auch temporäre Dateien und gecachte Netzwerkinformationen zurückgesetzt, was die gesammelten Daten weniger wertvoll macht.
Die zweite Stufe kann sich nicht einnisten: Für die 40 gezielt ausgewählten Systeme lud die Malware eine komplexe Backdoor nach. Diese benötigte dauerhafte Dateisystemänderungen und Registry-Einträge, um persistiert zu werden. Eine eingefrorene Systempartition eliminiert all das beim nächsten Reboot.
Laterale Bewegung wird unterbunden: Die Angreifer nutzten die kompromittierten Endgeräte als Ausgangspunkt, um sich in Unternehmensnetzwerken zu bewegen. Wenn das Sprungbrett bei jedem Neustart verschwindet, bricht die gesamte Angriffskette zusammen.
2,27 Millionen Rechner hätten sich selbst geheilt: Statt einer aufwendigen Bereinigungskampagne, bei der Millionen Nutzer manuell ein Update installieren mussten, hätte ein einfacher Neustart genügt. Die Kosten für Incident Response, forensische Analyse und Bereinigung wären auf einen Bruchteil gesunken.
Die Lehre
- Auch Sicherheits- und Systemtools können kompromittiert werden. CCleaner wurde von Millionen Menschen genutzt, um ihre Systeme „sauber" zu halten – und wurde dabei selbst zum Trojaner. Vertrauen in einzelne Softwareprodukte ist keine Sicherheitsstrategie.
- Massenangriffe dienen oft als Deckmantel für gezielte Spionage. Von 2,27 Millionen Infektionen waren nur 40 das eigentliche Ziel. Die Masse diente als Tarnung und Ablenkung. Deep Freeze schützt sowohl die 2,27 Millionen als auch die 40.
- Gültige digitale Signaturen sind keine Sicherheitsgarantie. Die Floxif-Malware trug eine echte Piriform-Signatur. Dein Virenscanner akzeptiert signierte Software als vertrauenswürdig. Deep Freeze ist es egal, ob eine Datei signiert ist oder nicht – nach dem Neustart ist sie weg.
- Die Bereinigung eines Supply-Chain-Angriffs kostet Millionen. Avast musste nicht nur das Problem beheben, sondern auch 2,27 Millionen Nutzer informieren und die Folgen des Reputationsschadens bewältigen. Mit Deep Freeze auf den Endgeräten wäre die Bereinigung trivial gewesen.
- Build-Systeme sind Hochwertziele. Wer den Build-Prozess kontrolliert, kontrolliert die gesamte Nutzerbasis. Als Endanwender kannst Du die Sicherheit von Build-Systemen nicht beeinflussen – aber Du kannst Dein System so konfigurieren, dass kompromittierte Software keinen dauerhaften Schaden anrichtet.