Czeska firma Avast zgłoszone cyberatak: napastnicy próbowali włamać się i wprowadzić złośliwy kod do popularnego narzędzia CCleaner.
We wrześniu 23, 2018, Specjaliści Avast zauważyli podejrzane działania w sieci firmowej i natychmiast rozpoczęli dochodzenie. Pracownicy firmy nawiązali współpracę z czeską agencją wywiadowczą, Służbę Bezpieczeństwa Informacji (BIS), lokalny oddział cyberbezpieczeństwa czeskiej policji oraz zewnętrzna grupa ekspertów ds. cyberprzestępczości.
Analizowanie zewnętrznych adresów IP, eksperci ustalili, że nieznany napastnik już w maju próbował uzyskać dostęp do sieci za pośrednictwem VPN 14 tego roku.
Okazało się, że dostęp do sieci wewnętrznej odbywał się przy użyciu naruszonych danych uwierzytelniających poprzez tymczasowy profil VPN, który został omyłkowo pozostawiony włączony i nie wymagał uwierzytelniania dwuskładnikowego.
Jaya Baloo
„Użytkownik, którego dane uwierzytelniające zostały wyraźnie naruszone i powiązane z adresem IP, nie miał uprawnień administratora. Jednakże, dzięki udanej eskalacji uprawnień, przestępcom udało się uzyskać uprawnienia administratora domeny”, – — powiedziała dyrektor ds. bezpieczeństwa informacji Avast, Jaya Baloo.
Uwagę specjalistów przyciągnęła eskalacja przywilejów. Następnie, Eksperci Avast celowo pozostawili aktywny profil VPN, aby wyśledzić atakującego i monitorować jego dalsze działania.
W październiku 4, 2019, eksperci ponownie zauważyli tę samą aktywność. Sygnatury czasowe podejrzanej aktywności oznaczone tagiem MS ATA (GMT + 2 strefa czasowa):
- 2:00 – Móc 14, 2019;
- 4:36 – Móc 15, 2019;
- 23:06 – Móc 15, 2019;
- 3:35 – Lipiec 24, 2019;
- 3:45 – Lipiec 24, 2019;
- 15:20 – Wrzesień 11, 2019;
- 11:57 – Październik 4, 2019.
Eksperci firmy uważają, że prawdopodobnym celem ataku był CCleaner, jak w 2017.
We wrześniu 25 tego roku, Pracownicy Avast zatrzymali CCleaner i zaczęli sprawdzać poprzednie wersje narzędzia. Upewnili się, że w kodzie nie wprowadzono żadnych złośliwych zmian.
Jako kolejny środek zapobiegawczy, eksperci, Po pierwsze, utworzył aktualizację CCleaner i wysłał ją do użytkowników za pomocą automatycznych aktualizacji w październiku 15, 2019, i po drugie, unieważnili poprzedni certyfikat do podpisywania aktualizacji CCleaner. Po wszystkich środkach ostrożności, Avast z całą pewnością oświadcza, że użytkownicy programu CCleaner są chronieni i nie mają na nie wpływu cyberprzestępcy. Po tym, Wreszcie, zhakowane dane uwierzytelniające pracowników zostały zresetowane.
Z informacji zebranych przez ekspertów, jasne jest, że była to niezwykle wyrafinowana próba włamania. Hakerzy zrobili wszystko, co w ich mocy, aby nie pozostawić żadnych śladów, żadnych informacji o sobie i swoich celach. Nadal nie udało się ustalić, czy były to te same osoby, co wcześniej (przypominając, że za poprzedni atak odpowiedzialna jest rządowa grupa hakerska Axiom).
Przeczytaj także: Intel i Nvidia zajęły się poważnymi lukami w dwóch produktach przeznaczonych dla graczy
Eksperci Avast w dalszym ciągu szczegółowo monitorują sieci i systemy, aby zminimalizować czas potrzebny na wykrycie zagrożenia i reakcję na nie. Ponadto, badacze, wraz z ekspertami zewnętrznymi, planują dalsze badanie dzienników, aby określić, kiedy i w jaki sposób pojawili się hakerzy. Adresy IP atakujących są już znane. Dochodzenie jest w toku.
Przypomnijmy, że we wrześniu 2017, W popularnym narzędziu CCleaner firmy Avast wykryto złośliwy kod. Backdoor umożliwił atakującym pobranie dodatkowego złośliwego oprogramowania, takie jak oprogramowanie ransomware lub keyloggery. Według ekspertów, W ataku brała udział chińska grupa cybernetyczna Axiom.
Zostaw komentarz