Čehijas kiberdrošības firma Avast Software, populārā antivīrusu programmatūras nodrošinātāja AVG Technologies NV īpašnieks, nesen paziņojumā paziņoja, ka tas ir uzlauzts, bet uzņēmumam izdevās apkarot uzbrukumu.
Tiem, kas atradās uzbrukuma priekšā, izdevās piekļūt, kompromitējot akreditācijas datus virtuālais privātais tīkls no darbinieka, kurš nebija aizsargāts izmantojot divu faktoru autentifikāciju. Pēc piekļuves iegūšanas hakerim izdevās iegūt domēna administratora privilēģijas un mēģināja ievietot Avast tīklā ļaunprātīgu programmatūru.
Uzbrukums pirmo reizi tika atklāts 23. septembrī, kur hakeris ieguva domēna administratora privilēģijas un izraisīja iekšēju sistēmas brīdinājumu, lai gan Avast atzīmēja, ka hakeris mēģināja piekļūt kopš 14. maija un ka hakeris tika izsekots no izsekotas publiskas IP adreses Lielbritānijā.
Tomēr, Veiksmīgi veicot privilēģiju eskalāciju, hakerim izdevās iegūt domēna administratora privilēģijas. Savienojums tika izveidots no publiska IP, kas mitināts ārpus Lielbritānijas, un viņi noteica, ka uzbrucējs izmantoja arī citus galapunktus, izmantojot to pašu VPN nodrošinātāju.
Avast ziņoja, ka hakeris mērķēja uz viņu uzbrukumiem īpaši uz CCleaner rīku ar ļaunprātīgu programmatūru, kas ļāva aiz tā esošajiem izspiegot lietotājus.
Šis uzbrukums bija paredzēts CCleaner pārkāpšanai līdzīgā veidā kā šajā gadījumā kur tas iepriekš tika uzlauzts jo 2017 uzskatāms par valsts atbalstītu uzbrukumu, kas vērsts pret tehnoloģiju uzņēmumiem.
Savāktie pierādījumi liecināja par darbību MS ATA / VPN 1. oktobrī, kad mēs atkārtoti pārskatījām MS ATA brīdinājumu par ļaunprātīgu direktoriju pakalpojumu replikāciju no iekšējā IP, kas piederēja mūsu VPN adrešu diapazonam, un sākotnēji tas tika izslēgts kā viltus pozitīvs.
Pārsteidzošā kārtā, atklājot hakeri savā tīklā, Avast ļāva hakerim mēģināt turpināt vairākas nedēļas, tikmēr viņi bloķēja visus potenciālos mērķus un izmantoja iespēju izpētīt hakeri, lai mēģinātu atrast personu vai grupu aiz kapāt.
Uzlauzta programmatūra ir normāla parādība, taču Avast kaķa un peles spēle ar hakeru bija neparasta. Avast pārtrauca CCleaner atjauninājumu izlaišanu 25. septembrī lai pārliecinātos, ka neviens no jūsu atjauninājumiem nav apdraudēts, pārbaudot, vai ir apdraudētas arī iepriekšējās versijas.
Paralēli mūsu uzraudzībai un izmeklēšanai mēs plānojam un veicam aktīvus pasākumus, lai aizsargātu mūsu galalietotājus un nodrošinātu gan mūsu produktu radīšanas vides, gan palaišanas procesa integritāti.
Lai gan mēs uzskatījām, ka CCleaner bija iespējamais piegādes ķēdes uzbrukuma mērķis, kā tas bija CCleaner pārkāpuma gadījumā 2017. gadā, koriģēšanas darbībās mēs izveidojām plašāku tīklu.
No šī datuma līdz Avast 15. oktobrim es izmantoju iespēju veikt jūsu pētījumu. Pēc tam sāka sūtīt atjauninājumus (no 15. oktobra) no CCleaner ar atkārtoti parakstītu drošības sertifikātu, pārliecinoties, ka jūsu programmatūra ir droša.
"Bija skaidrs, ka, tiklīdz mēs izlaidīsim jauno parakstīto CCleaner versiju, mēs mērķēsimies uz ļaunprātīgiem dalībniekiem, tāpēc tajā brīdī mēs slēdzām pagaidu VPN profilu," sacīja Avaya informācijas drošības galvenā vadītāja Jaya Baloo. “Tajā pašā laikā mēs atspējojam un atiestatām visus iekšējos lietotāja akreditācijas datus. Vienlaicīgi, nekavējoties stājoties spēkā, mēs esam ieviesuši papildu pārbaudi visām versijām «.
Turklāt viņš teica, ka uzņēmums turpināja vēl vairāk stiprināt un aizsargāt savu apkārtni.s biznesa operācijām un Avast produktu radīšanai. Kiberdrošības uzņēmums, kas tiek uzlauzts, nekad nav labs tēls, taču tā pārredzamība tiek uzskatīta par labu.
Visbeidzot, ja vēlaties uzzināt vairāk par paziņojumu, ko Avast sniedza par to, varat to apskatīt vietnē šo saiti.