TeamViewer als Werkzeug für Kriminelle

  • Article

Im September 2017 entdeckte der Security-Anbieter Avast, dass das populäre Tool CCleaner mit einem Backdoor-Virus verseucht war. CCleaner wurde von der Firma Piriform entwickelt, die im Juli 2017 von Avast übernommen worden war. Seither liefen bei Avast Untersuchungen, wie sich die Angreifer Zugriff auf die Software verschaffen konnten. In einem Blog-Beitrag klärt Ondrej Vlcek, der Executive Vice President und General Manager von Avast, über die Hintergründe auf.

Demzufolge nutzten die kriminellen Hacker die deutsche Remote-Access-Software TeamViewer, um auf das Netzwerk von Piriform zuzugreifen. Der erste Angriff erfolgte bereits im März 2017, also vier Monate, bevor Avast das Unternehmen übernahm. Die Eindringlinge griffen zunächst den PC eines Entwicklers an. Dazu benötigten sie lediglich einen Einwahlversuch, was darauf hinweist, dass sie die Zugangsdaten bereits kannten. Auf dem Rechner war der TeamViewer-Client installiert, den sie in der Folge für ihre weiteren Aktionen verwendeten. Die zweite Stufe des Angriffs begann dann am nächsten Tag um 5 Uhr morgens Ortszeit, also zu einer Tageszeit, bei der sich die Angreifer weitgehend sicher sein konnten, dass der Computer nicht in Gebrauch war. Die Hacker versuchten nun, auf dem Computer zwei DLLs zu installieren, was ihnen jedoch aufgrund fehlender Admin-Berechtigungen in zwei Anläufen nicht gelang. Erst im dritten Versuch konnten sie die Dateien mittels eines VBScript platzieren.

Wiederum einen Tag später ging es morgens um 4 Uhr mit einem zweiten Rechner weiter. Über die Remotedesktopverbindung von Windows übertrugen die Angreifer eine frühe Version der CCleaner-Malware, die später an insgesamt 40 Anwender ausgeliefert wurde. Das wiederholten sie zwei Tage später auf dem ersten Computer.

Erst Monate später erfolgte dann die Hauptattacke. Avast nimmt an, dass die Hacker in dieser Zeit das Netzwerk infiltrierten, über den bereits installierten Keylogger Zugangsdaten ausspähten und mit der Remotedesktopverbindung unter Nutzung administrativer Berechtigungen weitere Bereiche der IT von Piriform ausspähten und unter ihre Kontrolle brachten. In dieser Zeit installierten sie auch den Backdoor-Trojaner ShadowPad, der dann am 2. August erstmals zusammen mit CCleaner an die Kunden weitergegeben wurde.