Komputery
Czeski producent oprogramowania antywirusowego ujawnia drugi atak mający na celu złamanie zabezpieczeń wersji CCleaner. Było to naruszenie bezpieczeństwa, które wpłynęło na jego wewnętrzną sieć.
W opublikowanym dzisiaj oświadczeniu firma stwierdziła, że uważa, że celem ataku było wstawienie złośliwego oprogramowania do oprogramowania CCleaner, podobnie jak w przypadku niesławnego incydentu CCleaner 2017.
Avast powiedział, że doszło do naruszenia, ponieważ atakujący naruszył dane uwierzytelniające VPN pracownika, uzyskując dostęp do konta, które nie było chronione za pomocą rozwiązania do uwierzytelniania wieloskładnikowego.
Włamanie zostało wykryte 23 września, ale Avast powiedział, że znalazł dowody na to, że atakujący atakował swoją infrastrukturę już 14 maja tego roku.
"Użytkownik, którego poświadczenia najwyraźniej zostały naruszone i powiązane z adresem IP, nie miał uprawnień administratora domeny. Jednak dzięki udanej eskalacji uprawnień atakującemu udało się uzyskać uprawnienia administratora domeny", powiedział Jaya Baloo, dyrektor ds. Bezpieczeństwa informacji Avast (CISO).
Baloo powiedział, że Avast celowo pozostawił aktywny profil VPN, aby śledzić atakującego i obserwować jego działania. Trwało to do 15 października, kiedy firma zakończyła audyt poprzednich wersji CCleaner i opublikowała nową czystą aktualizację.
W tym samym czasie Avast zmienił również certyfikat cyfrowy, którego używał do podpisywania aktualizacji CCleaner. Nowa aktualizacja została podpisana nowym certyfikatem cyfrowym, a firma odwołała poprzedni certyfikat używany do podpisywania starszych wersji CCleaner. Zrobiło to, aby uniemożliwić atakującym podpisywanie fałszywych aktualizacji CCleaner, na wypadek, gdyby hakerzy zdołali zdobyć stary certyfikat podczas ostatniej ingerencji.
"Po podjęciu wszystkich tych środków ostrożności z pewnością możemy powiedzieć, że nasi użytkownicy CCleaner są chronieni i nienaruszeni", powiedział Baloo.
Producent oprogramowania antywirusowego powiedział, że bada obecnie incydent wraz z czeską agencją wywiadowczą, Służbą Informacji Bezpieczeństwa (BIS), lokalną czeską jednostką policji ds. Cyberbezpieczeństwa i zewnętrznym zespołem kryminalistycznym.
Avast powiedział, że obecnie nie ma dowodów sugerujących, że ten atak został spowodowany przez tę samą grupę, która naruszyła jego infrastrukturę w 2017 r .; firma zwróciła jednak uwagę, że wtargnięcia dokonał ktoś naprawdę doświadczony.
"Z dotychczasowych spostrzeżeń jasno wynika, że była to wyjątkowo wyrafinowana próba przeciwko nam, mająca na celu nie pozostawianie śladów intruza ani ich celu, oraz że atakujący postępował z wyjątkową ostrożnością, aby nie zostać wykrytym - powiedział Baloo.
Wcześniej Avast był chwalony za otwartość, którą wykazał podczas badania hacku CCleaner w 2017 roku. Dochodzenie jest w toku, a firma obiecała więcej aktualizacji.
W opublikowanym dzisiaj oświadczeniu firma stwierdziła, że uważa, że celem ataku było wstawienie złośliwego oprogramowania do oprogramowania CCleaner, podobnie jak w przypadku niesławnego incydentu CCleaner 2017.
Avast powiedział, że doszło do naruszenia, ponieważ atakujący naruszył dane uwierzytelniające VPN pracownika, uzyskując dostęp do konta, które nie było chronione za pomocą rozwiązania do uwierzytelniania wieloskładnikowego.
Włamanie zostało wykryte 23 września, ale Avast powiedział, że znalazł dowody na to, że atakujący atakował swoją infrastrukturę już 14 maja tego roku.
"Użytkownik, którego poświadczenia najwyraźniej zostały naruszone i powiązane z adresem IP, nie miał uprawnień administratora domeny. Jednak dzięki udanej eskalacji uprawnień atakującemu udało się uzyskać uprawnienia administratora domeny", powiedział Jaya Baloo, dyrektor ds. Bezpieczeństwa informacji Avast (CISO).
Baloo powiedział, że Avast celowo pozostawił aktywny profil VPN, aby śledzić atakującego i obserwować jego działania. Trwało to do 15 października, kiedy firma zakończyła audyt poprzednich wersji CCleaner i opublikowała nową czystą aktualizację.
W tym samym czasie Avast zmienił również certyfikat cyfrowy, którego używał do podpisywania aktualizacji CCleaner. Nowa aktualizacja została podpisana nowym certyfikatem cyfrowym, a firma odwołała poprzedni certyfikat używany do podpisywania starszych wersji CCleaner. Zrobiło to, aby uniemożliwić atakującym podpisywanie fałszywych aktualizacji CCleaner, na wypadek, gdyby hakerzy zdołali zdobyć stary certyfikat podczas ostatniej ingerencji.
"Po podjęciu wszystkich tych środków ostrożności z pewnością możemy powiedzieć, że nasi użytkownicy CCleaner są chronieni i nienaruszeni", powiedział Baloo.
Producent oprogramowania antywirusowego powiedział, że bada obecnie incydent wraz z czeską agencją wywiadowczą, Służbą Informacji Bezpieczeństwa (BIS), lokalną czeską jednostką policji ds. Cyberbezpieczeństwa i zewnętrznym zespołem kryminalistycznym.
Avast powiedział, że obecnie nie ma dowodów sugerujących, że ten atak został spowodowany przez tę samą grupę, która naruszyła jego infrastrukturę w 2017 r .; firma zwróciła jednak uwagę, że wtargnięcia dokonał ktoś naprawdę doświadczony.
"Z dotychczasowych spostrzeżeń jasno wynika, że była to wyjątkowo wyrafinowana próba przeciwko nam, mająca na celu nie pozostawianie śladów intruza ani ich celu, oraz że atakujący postępował z wyjątkową ostrożnością, aby nie zostać wykrytym - powiedział Baloo.
Wcześniej Avast był chwalony za otwartość, którą wykazał podczas badania hacku CCleaner w 2017 roku. Dochodzenie jest w toku, a firma obiecała więcej aktualizacji.
