Berlingske Business

Virus i udbredt oprydningsprogram havde skjult mission

pix-Hackerhånd
Det udbredte oprydningsprogram Ccleaner er blevet hacket, og de endnu ukendte bagmænd har lagt virus ind i det. Arkivfoto: Shutterstock/Scanpix

700.000 har hentet virusramt udgave af Ccleaner, som bagefter blev opdateret for at kunne trænge ind hos teknologigiganterne - måske for at stjæle deres hemmeligheder.

De hackere, som i august havde held til at inficere det udbredte computeroprydningsprogram Ccleaner med virus, gik efter at trænge ind hos nogle af verdens største teknologivirksomheder.

Det siger sikkerhedseksperter hos Cisco, som selv har været i målgruppen.

Ccleaner er et vidt udbredt og berømmet softwareprogram, som bruges til at fjerne efterladte og ubrugte data på PCer. Det lykkedes i august hackere at trænge ind på de servere, som Ccleaner hentes fra, og lægge en skjult virus ind i programmet, som så fulgte med, da folk hentede eller opdaterede det.

Giganterne i fokus

Både Piriform, som udvikler Ccleaner, og det tjekkiske IT-sikkerhedsfirma Avast, som ejer Piriform, har meldt ud, at der tilsyneladende ikke er sket nogen skade, selv om 700.000 siden hackerindbruddet har hentet de inficerede udgaver af Ccleaner, som får programmet til at kontakte særlige netsteder, som hackerne kontrollerer. I første omgang lød meldingen på, at 2,27 millioner havde hentet det virusramte program.

Det passer imidlertid ikke, at der ingen skade er sket, siger Ciscos sikkerhedseksperter. Cisco havde allerede advaret Avast om angrebet, og nu kan man af en af de servere, som amerikanske myndigheder beslaglagde, se, at hackerne havde installeret yderligere ondsindet software, såkaldt »malware«, på mindst 20 maskiner, skriver nyhedsbureauet Reuters.

Hvor disse computere står, er ikke oplyst, men hackerne er ifølge Ciscos topsikkerhedsfolk gået efter at trænge ind hos teknologigiganter som Samsung, Google, Microsoft, Intel, HTC, Linksys, D-Link, Sony, Akamai og Cisco selv.

pix-Nordkorea

Alle fisk fanget - men de udvalgte er de interessante

»Det ser ud, som om de slemme drenge har kastet et net ud og fanget alle fiskene men kun ønsket at inficere de maskiner, som var mest interessante,« siger Craig Williams fra Ciscos sikkerhedsenhed, Talos.

Sandsynligvis har hackerne ønsket at få fingrene i industrihemmeligheder.

Avasts teknologidirektør, Ondrej Vlcek, bekræfter, at »et meget lille mindretal« af de ramte har fået anden malware installeret, og at Avast har taget kontakt til de ramte firmaer.

Analyser af den programkode, som virussen består af, viser ifølge både Cisco og IT-sikkerhedsfirmaet Kaspersky, at den stammer fra tidligere hackerangreb med forbindelse til de kinesiske myndigheder gennem hackergruppen Group 72, også kaldet Axiom. Programkoden kan dog være stjålet. Det er derfor ikke sikkert, at kinesiske hackere står bag, selv om en opsætningsfil på angribernes server faktisk stod til kinesisk tidszone.

pix-Trump Hotel

Samme fremgangsmåde som Goldeneye

Cisco advarer om, at det at afinstallere Ccleaner ikke nødvendigvis betyder, at man er ude af farezonen. Det giver nemlig ingen garanti for, at hackernes bagdør i Ccleaner ikke er blevet brugt til at installere anden malware i det skjulte.

Hackerangrebet på Piriforms server er sket efter samme opskrift som det ødelæggende virusangreb, som for to måneder siden lagde bl.a. den danske rederigigant Mærsk ned. Her blev en opdateringsfunktion af et ukrainsk softwareprogram til indberetning af skat inficeret med Goldeneye-virussen, som derefter fulgte med i »købet«, når folk opdaterede regnskabsprogrammet i tillid til, at det skete uden problemer, fordi det foregik direkte fra producentens server.

Den virusramte version er CCleaner 5.33.6162 (32-bit). Man skal sikre sig, at man anvender version 5.34 eller nyere.

Kære læser

Berlingske har skiftet det system, vi bruger til at håndtere kommentarer til de enkelte artikler. Det betyder, at tidligere kommentarer nu er slettet. For fremtiden kan artikler kun kommenteres og debateres med et log ind til Facebook.

Med venlig hilsen

Redaktionen

Forsiden lige nu

Til forsiden

Business anbefaler

 

Business i billeder

Se alle

BrandView Hvad er Brandview?

BrandView er en service fra Berlingske Media, hvor virksomheder har mulighed for at kommunikere deres specialviden direkte til brugere og læsere af Berlingske.
Dette kan gøres på print i Berlingske og Berlingske Business, eller online på b.dk og business.dk.

Ønsker du at vide mere om BrandView, bedes du kontakte content marketing afdelingen Public Impact via e-mail: info@publicimpact.dk.

Annonce

Venezuela har verdens største oliereserver – og en årlig inflation på 100.000 pct. Hvad er det lige, der sker?For en dansk investor var Venezuela frem til for få år siden interessant, fordi ØK havde s...

Kære læser. Velkommen til business.dk.

Vi kan se, at du har installeret en adblocker, så vi ikke kan vise dig annoncer. Det er vi kede af, fordi indtægter fra annoncer er en helt afgørende årsag til, at vi dagligt kan tilbyde dig journalistik af høj kvalitet.

Vi håber derfor, at du i din adblocker vil tillade visning af annoncer fra business.dk Det er nemt og tager kun et øjeblik: Se hvordan du gør her.

Med venlig hilsen
Berlingske Business

Tilbage til artiklen