Компанию Avast пытались взломать через скомпрометированный VPN

Чешская  компания Avast сообщила о кибератаке, вероятной целью которой было внедрение малвари в состав утилиты CCleaner, равно как и в 2017 году.

23 сентября 2018 года специалисты Avast заметили подозрительные действия в корпоративной сети и начали немедленное расследование. Сотрудники компании объединились с чешским разведывательным агентством, Службой информационной безопасности (BIS), местным подразделением кибербезопасности полиции Чехии и внешней группой экспертов по киберкриминалистике.

Анализируя внешние IP-адреса, эксперты обнаружили, что неизвестный злоумышленник пытался получить доступ к сети через VPN еще 14 мая текущего года.

Оказалось, что доступ к внутренней сети был осуществлен с использованием скомпрометированных учетных данных через временный профиль VPN, который был ошибочно оставлен включенным и не требовал двухфакторной аутентификации.

Хотя у пользователя, чьи учетные данные были скомпрометированы, не было привилегий администратора домена, благодаря успешному повышению привилегий, злоумышленнику в итоге удалось получить права администратора домена. Именно это и привлекло внимание специалистов. Затем эксперты Avast намеренно оставили скомпрометированный профиль VPN активным, чтобы отслеживать злоумышленника и наблюдать за его дальнейшими действиями.

4 октября 2019 года эксперты снова заметили ту же активность. Временные метки подозрительной активности, помеченной MS ATA, (часовой пояс GMT+2):

  • 2:00 — 14 мая 2019 года;
  • 4:36 — 15 мая 2019 года;
  • 23:06 — 15 мая 2019 года;
  • 3:35 — 24 июля 2019 года;
  • 3:45 — 24 июля 2019 года;
  • 15:20 —11 сентября 2019 года;
  • 11:57 — 4 октября 2019 года.

Специалисты компании полагают, что вероятной целью атаки был CCleaner, как и в 2017 году.

25 сентября текущего года сотрудники Avast остановили работу CCleaner и начали проверять предыдущие версии утилиты. Они убедились, что никаких вредоносных изменений в код внесено не было.

В качестве дальнейших превентивных мер эксперты, во-первых, создали обновление CCleaner и отправили пользователям с помощью автоматического обновления 15 октября 2019 года, а во-вторых, отозвали предыдущий сертификат для подписи обновлений CCleaner. После всех мер предосторожности в Avast с уверенностью заявляют, что пользователи CCleaner защищены и не подвержены влиянию злоумышленников. После этого, наконец, были сброшены и скомпрометированные учетные данные сотрудника.

Из собранной специалистами информации ясно, что это была чрезвычайно изощренная попытка взлома. Хакеры сделали все возможное, чтобы не оставить никаких следов, никакой информации о себе и своих целях. Пока невозможно определить, были ли это те же люди, что и раньше (напомню, что ответственность за предыдущую атаку возлагают на правительственную хак-группу Axiom).

Специалисты Avast продолжают проводить подробный мониторинг в сетях и системах, чтобы максимально сократить время обнаружения угрозы и реакции на нее. Кроме того, исследователи вместе со сторонними экспертами планируют дополнительно изучить логи, чтобы выявить, когда и как проявляли себя хакеры. Уже известны IP-адреса злоумышленников. Расследование продолжается.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.