De daders van de CCleaner-aanval aasden vermoedelijk op intellectueel eigendom van onder meer Samsung, Intel, HTC, Microsoft en Cisco. Dat vermoedt Cisco Talos, een onderzoeksgroep van netwerkbedrijf Cisco. De onderzoekers baseren dat op bestanden die afkomstig zijn van de commandoserver van de kwaadaardige software.
De kwaadaardige software werd meegeleverd met een download van de ‘opruimsoftware’ CCleaner, die tussen 15 augustus en 15 september beschikbaar was. Volgens Avast, dat eigenaar is van CCleaner, hebben in totaal bijna 2,3 miljoen computers de besmette versie van de software gedownload.
Op basis van het onderzoek concludeert Cisco Talos voorlopig dat het gaat om een geavanceerde aanvaller. Het doel van de aanvallers was waarschijnlijk om een of meerdere van de bovengenoemde grote techbedrijven te bereiken.
Wie de daders zijn, is onbekend. Cisco Talos zegt wel dat er overeenkomsten zijn met eerder gebruikte code in malware van ‘Group 72’. Deze hackers richten zich voornamelijk op economische spionage in de Verenigde Staten, Japan, Taiwan en Korea. Dat zij ook achter de CCleaner-aanval zitten is daarmee echter niet bewezen: code wordt regelmatig overgenomen.
Systeemherstel
Cisco Talos adviseert mensen die de besmette versie van CCleaner hebben gedownload om een systeemherstel van hun computer uit te voeren. Het verwijderen van de software of het updaten naar een nieuwe versie is niet voldoende.