Cyberspionage könnte von Axiom ausgegangen sein: Die bei dem Angriff verwendete Malware ähnelt derjenigen, die in der Vergangenheit von der Hackergruppe verwendet wurde
CCleaner ist eines der am weitesten verbreiteten Programme zur Optimierung der Leistung von Geräten. In den letzten Wochen wurde eine modifizierte Version der Software entdeckt, die Floxif, eine gefährliche Malware, enthält. Jetzt wurde bekannt, dass der Hackerangriff auf die großen IT-Unternehmen abzielte.
Lassen Sie uns versuchen zu rekonstruieren, was passiert ist. Nach Angaben von Forschern wurde zwischen September und August eine veränderte Version von CCleaner ins Netz gestellt, die erst vor wenigen Tagen entdeckt wurde. In das infizierte Programm hatten die Hacker Floxif eingefügt, eine invasive Malware-Variante, die vor allem in der Lage ist, Informationen über die betroffenen Rechner zu sammeln, und über eine Schreibfunktion verfügt. Die von der Spionagesoftware gesammelten Daten wurden dann an einen von den Hackern betriebenen Server übertragen. In den letzten Stunden sind weitere Details aufgetaucht, die Aufschluss über die Autoren der Malware und ihre tatsächlichen Ziele geben. Experten zufolge gibt es Ähnlichkeiten zwischen dem Code von Floxif und dem von Missl, einem Trojaner, der mit der Hackergruppe Axiom in Verbindung gebracht wird.
Der Angriff
Die Forscher haben also möglicherweise die Täter gefunden, obwohl es noch keine definitiven Informationen gibt, sondern nur starke Hinweise. Wie wir gesehen haben, konnten die Hacker mit der modifizierten Version von CCleaner eine Vielzahl sensibler Daten sammeln, darunter die MAC-Adresse und den Namen des Computers, sowie die auf dem Computer installierten Programme und die aktiven Prozesse aufzeichnen. Darüber hinaus war die Spyware in der Lage, jedem kompromittierten Gerät eine Identifikationsnummer zuzuweisen. Darüber hinaus wurde festgestellt, dass Floxif es Cyberkriminellen ermöglichte, eine zweite Malware auf etwa 20 Computern auszuführen.
Die betroffenen Unternehmen
Auf den von den Experten analysierten Servern wurden zwei Listen gefunden, von denen eine 700.000 Computer und die andere 20 enthielt. Die erste Liste enthält die Computer, die von der ersten Version der Schadsoftware betroffen sind, während die zweite Liste diejenigen enthält, die mit dem zusätzlichen Virus infiziert sind, der in der Lage ist, andere Informationen zu übernehmen und andere Schadsoftware auszuführen.
Auf den Listen stehen viele High-Tech-Unternehmen, wie Google, Microsoft, Samsung, Sony, HTC, Epson, Intel und Vodafone. Die von den Hackern eingesetzte Technik ist sehr gefährlich, da sie es den Tätern nach Ansicht von Experten ermöglichen könnte, in viele Organisationen einzudringen und eine Menge vertraulicher Daten zu sammeln.