Чешская фирма по кибербезопасности AVAST Software, владелец популярного поставщика антивирусного ПО AVG Technologies NV, недавно сообщил в заявлении, что он был взломан, но компании удалось отразить нападение.
Тем, кто стоял за атакой, удалось получить доступ, скомпрометировав учетные данные виртуальная частная сеть от сотрудника, который не был защищен с использованием двухфакторной аутентификации. После получения доступа хакеру удалось получить права администратора домена и пытался внедрить вредоносное ПО в сеть Avast.
Атака была впервые обнаружена 23 сентября., где хакер получил права администратора домена и вызвал внутреннее системное предупреждение, хотя Avast отметил, что хакер пытался получить доступ с 14 мая и что хакер отслеживался с публичного IP-адреса в Великобритании.
Тем не менее, Путем успешного повышения привилегий хакеру удалось получить права администратора домена. Подключение было выполнено с общедоступного IP-адреса, размещенного за пределами Великобритании, и они определили, что злоумышленник также использовал другие конечные точки через того же поставщика VPN.
Avast сообщил, что хакер нацелился на их атаки конкретно к инструменту «CCleaner» с вредоносным ПО, которое позволяло тем, кто за ним шпионить за пользователями.
Эта атака была направлена на взлом CCleaner аналогично делу где он был ранее взломан в 2017 в том, что считается спонсируемой государством атакой на технологические компании.
Собранные нами доказательства указывают на активность MS ATA / VPN 1 октября, когда мы повторно проанализировали предупреждение MS ATA о репликации вредоносных служб каталогов с внутреннего IP-адреса, принадлежащего нашему диапазону адресов VPN, который изначально был исключен как ложное срабатывание.
Удивительно, но обнаружив хакера в своей сети, Avast позволил хакеру пытаться действовать в течение нескольких недель, тем временем блокируя все потенциальные цели и используя возможность изучить хакера, как будто пытаясь найти человека или группу, стоящую за ним. взломать.
Взломанное программное обеспечение - это нормально, но игра Avast в кошки-мышки с хакером была необычной. Avast прекратил выпускать обновления для CCleaner 25 сентября чтобы убедиться, что ни одно из ваших обновлений не было скомпрометировано, путем проверки того, что предыдущие версии также были скомпрометированы.
Параллельно с нашим мониторингом и расследованием мы планируем и проводим упреждающие меры для защиты наших конечных пользователей и обеспечения целостности как нашей среды создания продукта, так и нашего процесса запуска.
Хотя мы полагали, что CCleaner был вероятной целью атаки на цепочку поставок, как это было в случае взлома CCleaner в 2017 году, мы запустили более широкую сеть в наших действиях по исправлению.
С этого дня до 15 октября, Avast, я пользуюсь возможностью провести ваше исследование. Впоследствии начал рассылать обновления (по состоянию на 15 октября) от CCleaner с повторно подписанным сертификатом безопасности, убедитесь, что ваше программное обеспечение безопасно.
«Было ясно, что как только мы выпустим новую подписанную версию CCleaner, мы будем нацелены на злоумышленников, поэтому на этом этапе мы закрыли временный профиль VPN», - сказал Джая Балу, директор по информационной безопасности в блоге Avast. «В то же время мы отключаем и сбрасываем все внутренние учетные данные пользователей. Одновременно, вступив в силу немедленно, мы внедрили дополнительную проверку для всех версий «.
Кроме того, по его словам, компания продолжила дальнейшее укрепление и защиту окружающей среды.s для бизнес-операций и создания продуктов Avast. Взломанная компания, занимающаяся кибербезопасностью, никогда не имеет хорошего имиджа, но ее прозрачность считается хорошей.
Наконец, если вы хотите узнать больше о заявлении, сделанном Avast по этому поводу, вы можете ознакомиться с ним на по следующей ссылке.