Det tsjekkiske cybersecurity-firmaet avast programvare, eier av den populære antivirusprogramvareleverandøren AVG Technologies NV, nylig avslørt i en uttalelse at den ble hacket, men selskapet klarte å bekjempe angrepet.
De som sto bak angrepet klarte å få tilgang ved å kompromittere legitimasjonen privat virtuelt nettverk fra en ansatt som ikke var beskyttet bruker tofaktorautentisering. Etter å ha fått tilgang, hackeren klarte å få domeneadministratorrettigheter og prøvde å sette inn skadelig programvare i Avast-nettverket.
Angrepet ble først oppdaget 23. september, der hackeren fikk domeneadministratorrettigheter og utløste et internt systemvarsel, selv om Avast bemerket at hackeren hadde prøvd å få tilgang siden 14. mai, og at hackeren ble sporet fra en offentlig IP-adresse i Storbritannia.
Imidlertid Gjennom en vellykket opptrapping av privilegier klarte hackeren å få rettigheter for domeneadministratorer. Forbindelsen ble opprettet fra en offentlig IP som var vert utenfor Storbritannia, og de bestemte at angriperen også brukte andre endepunkter gjennom samme VPN-leverandør.
Avast rapporterte at hackeren målrettet angrepene sine spesifikt mot “CCleaner” -verktøyet med skadelig programvare som tillot de som sto bak, å spionere på brukere.
Dette angrepet var ment å bryte CCleaner på en måte som ligner saken der det tidligere ble hacket no 2017 i det som antas å være et statsstøttet angrep rettet mot teknologibedrifter.
Bevisene vi samlet inn pekte på aktivitet på MS ATA / VPN 1. oktober da vi gjennomgikk et MS ATA-varsel om replikering av ondsinnede katalogtjenester fra en intern IP som tilhørte vårt VPN-adresseområde, som opprinnelig hadde blitt utelukket som en falsk positiv.
I en overraskende vri, etter å ha oppdaget hackeren på nettverket sitt, lot Avast hackeren prøve å fortsette i flere uker, i mellomtiden, blokkerte alle potensielle mål og benyttet anledningen til å studere hackeren som om han skulle prøve å finne personen eller gruppen bak hack.
Hacket programvare er normalt, men Avasts spill med katt og mus med hackeren var uvanlig. Avast sluttet å gi ut oppdateringer for CCleaner 25. september for å sikre at ingen av oppdateringene ble kompromittert ved å kontrollere at tidligere versjoner også var kompromittert.
Parallelt med vår overvåking og etterforskning planlegger og utfører vi proaktive tiltak for å beskytte sluttbrukerne og sikre integriteten til både vårt miljø for miljøskaping og lanseringsprosessen.
Selv om vi trodde at CCleaner var det sannsynlige målet for et forsyningskjedeangrep, som det var tilfelle i et CCleaner-brudd i 2017, lanserte vi et bredere nettverk i våre utbedringsaksjoner.
Fra den datoen til 15. oktober Avast, benytter jeg anledningen til å utføre din forskning. Begynte deretter å sende oppdateringer (fra 15. oktober) fra CCleaner med et re-signert sikkerhetssertifikat, trygg på at programvaren din var trygg.
"Det var klart at så snart vi ga ut den nye signerte versjonen av CCleaner, ville vi være rettet mot ondsinnede aktører, så på det tidspunktet lukket vi den midlertidige VPN-profilen," sa Jaya Baloo, Chief Information Security Officer i Avast. Blogg. “Samtidig deaktiverer og tilbakestiller vi all intern brukerlegitimasjon. Samtidig, med virkning umiddelbart, har vi implementert ytterligere kontroll for alle versjoner «.
I tillegg, sa han, fortsatte selskapet å styrke og beskytte omgivelsene ytterligere.s for forretningsdrift og etablering av Avast-produkter. Et cybersikkerhetsselskap som blir hacket er aldri et godt image, men gjennomsiktigheten anses å være god.
Til slutt, hvis du vil vite mer om det om uttalelsen som Avast ga om det, kan du konsultere det på følgende lenke.