Het Tsjechische cyberbeveiligingsbedrijf avast Software, eigenaar van de populaire antivirussoftwareprovider AVG Technologies NV, onlangs bekendgemaakt in een verklaring dat het is gehackt, maar het bedrijf slaagde erin de aanval te bestrijden.
Degenen achter de aanval wisten toegang te krijgen door inloggegevens in gevaar te brengen virtueel prive netwerk van een werknemer die niet beschermd was met behulp van tweefactorauthenticatie. Nadat u toegang heeft gekregen, de hacker slaagde erin om domeinbeheerdersrechten te krijgen en probeerde malware in het Avast-netwerk in te voegen.
De aanval werd voor het eerst ontdekt op 23 september, waar de hacker domeinbeheerdersrechten kreeg en een interne systeemwaarschuwing activeerde, hoewel Avast opmerkte dat de hacker sinds 14 mei toegang probeerde te krijgen en dat de hacker werd gevolgd vanaf een openbaar IP-adres in het VK.
Echter Door een succesvolle escalatie van privileges slaagde de hacker erin om domeinbeheerdersrechten te krijgen. De verbinding is gemaakt vanaf een openbaar IP-adres dat buiten het VK wordt gehost en ze hebben vastgesteld dat de aanvaller ook andere eindpunten heeft gebruikt via dezelfde VPN-provider.
Avast meldde dat de hacker zijn aanvallen had gericht specifiek naar de "CCleaner" tool met malware waarmee degenen erachter gebruikers konden bespioneren.
Deze aanval was bedoeld om CCleaner te doorbreken op een manier die vergelijkbaar is met het geval waar het eerder was gehackt en 2017 in wat wordt beschouwd als een door de staat gesponsorde aanval op technologiebedrijven.
Het bewijs dat we verzamelden, wees op activiteit op MS ATA / VPN op 1 oktober, toen we een MS ATA-waarschuwing over replicatie van kwaadaardige directoryservices van een intern IP-adres dat tot ons VPN-adresbereik behoorde, opnieuw bekeken, wat oorspronkelijk was uitgesloten als een vals positief.
In een verrassende wending, nadat Avast de hacker op zijn netwerk had gedetecteerd, stond Avast de hacker toe wekenlang door te gaan, terwijl hij alle potentiële doelen blokkeerde en van de gelegenheid gebruik maakte om de hacker te bestuderen alsof hij probeerde de persoon of groep achter de hack.
Gehackte software is normaal, maar het kat-en-muisspel van Avast met de hacker was ongebruikelijk. Avast is op 25 september gestopt met het vrijgeven van updates voor CCleaner om er zeker van te zijn dat geen van uw updates gecompromitteerd is door te controleren of eerdere versies ook gecompromitteerd zijn.
Parallel met onze monitoring en ons onderzoek plannen en voeren we proactieve maatregelen uit om onze eindgebruikers te beschermen en de integriteit van zowel onze productcreatieomgeving als ons lanceringsproces te waarborgen.
Hoewel we dachten dat CCleaner het waarschijnlijke doelwit was van een supply chain-aanval, zoals het geval was bij een CCleaner-inbreuk in 2017, hebben we een breder netwerk gelanceerd voor onze herstelmaatregelen.
Vanaf die datum tot 15 oktober Avast maak ik van de gelegenheid gebruik om uw onderzoek uit te voeren. Vervolgens begonnen met het verzenden van updates (vanaf 15 oktober) van CCleaner met een opnieuw ondertekend beveiligingscertificaat, er zeker van dat uw software veilig was.
"Het was duidelijk dat zodra we de nieuwe ondertekende versie van CCleaner hadden uitgebracht, we ons zouden richten op kwaadwillende actoren, dus op dat moment hebben we het tijdelijke VPN-profiel gesloten", zegt Jaya Baloo, Chief Information Security Officer bij Avast. Blog. “Tegelijkertijd schakelen we alle interne gebruikersgegevens uit en resetten ze. Tegelijkertijd, met onmiddellijke ingang, hebben we extra controle geïmplementeerd voor alle versies «.
Bovendien, zei hij, bleef het bedrijf zijn omgeving verder versterken en beschermen.s voor bedrijfsactiviteiten en het maken van Avast-producten. Een cyberbeveiligingsbedrijf dat wordt gehackt is nooit een goed imago, maar de transparantie ervan wordt als goed beschouwd.
Als u er tenslotte meer over wilt weten over de verklaring die Avast erover heeft afgelegd, kunt u deze raadplegen op de volgende link.