На этот раз усилия злоумышленников оказались безуспешными — им не удалось скомпрометировать популярную программу CCleaner.
Что произошло?
Вторжение было обнаружено благодаря собственным системам безопасности Avast, которые зафиксировали событие копирования службы каталогов, инициированное с внутреннего IP-адреса, принадлежащего диапазону VPN-адресов компании.
Руководитель подразделения информационной безопасности Avast, Джая Балу (Jaya Baloo) рассказал подробности инцидента:
Пользователь, чьи учетные данные были явно скомпрометированы и привязаны к IP-адресу, не имел привилегий администратора домена. Однако, злоумышленникам удалось повысить уровень прав и получить привилегии администратора домена.
Дальнейший анализ показал, что доступ к внутренней сети был успешно осуществлен с использованием скомпрометированных учетных данных через временный профиль VPN, который был ошибочно оставлен включенным и не требовал двухфакторной аутентификации (2FA).
Также была зарегистрирована следующая активность киберпреступников:
- Пытались получить доступ к внутренней сети компании через VPN 14 мая 2019 год. Повторные попытки фиксировались в последующие месяцы.
- Временный VPN профиль использовался с несколькими наборами учетных данных, которые, по всей видимости, подвергались краже данных.
Компания Avast решила не закрывать временный VPN профиль, пока продолжалось расследование инцидента. Исследователям предстояло установить, что еще удалось скомпрометировать атакующему.
Балу отметила:
Мы изначально предположили, что целью злоумышленников была компрометация CCleaner, как и в 2017 году, и мы решили провести более масштабное восстановление картины инцидента.
25 сентября мы приостановили релизы CCleaner и начали проверять предыдущие сборки CCleaner и убедились, что никаких злонамеренных модификаций не было. В качестве двух превентивных мер мы переподписали пакет обновления продукта и отправили его пользователям через автоматическое обновление 15 октября, а во-вторых, мы отозвали предыдущий сертификат.
После этого временный профиль VPN был закрыт. Были сброшены все внутренние учетные записи пользователя и проведена дополнительная проверка всех выпусков.
Балу считает, что установить злоумышленника не удастся. Неизвестно, стоит ли за текущей атакой и атакой 2017 года одна и та же группа киберпреступников или нет.
Предыдущие атаки
Avast приобрела Piriform, компанию-разработчика CCleaner, в июле 2017 года.
В сентябре 2017 года компания Avast подтвердила, что некоторые версии популярной утилиты CCleaner, предлагаемые на официальном сайте Piriform, в результате атаки на внутренние сервера были инфицированы бэкдором. Вредоносные версии успели загрузить 2,27 миллионов пользователей.
После инцидента Avast сменила систему сборки Piriform на собственную инфраструктуру и выполнила необходимые мероприятия по интеграции систем Piriform в собственную IT-платформу.
Вскоре после этого было обнаружено, что взломанные выпуски CCleaner использовались, чтобы получить доступ к компьютерам в ряде крупных технологических компаний, таких как Intel, Microsoft, Linksys, Dlink, Google, Samsung и Cisco, а также в телекоммуникационных компаниях, таких как O2 и Vodafone, и Gauselmann. Похоже, злоумышленников интересовала ценная интеллектуальная собственность.
По материалам Help Net Security
Угрозы безопасности
• Антивирусы становятся бесполезными? ИИ может генерировать 10 000 вариантов вредоносного ПО, избегая обнаружения в 88% случаев
• Apache устраняет обход уязвимости удаленного выполнения кода в веб-сервере Tomcat
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг
• Обнаружен скрытый руткит Pumakit для Linux. Он может использоваться в таргетированных атаках
• Уязвимость OpenWrt Sysupgrade позволяет распространять вредоносные образы прошивки. Обновите свои устройства
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов