facebook adres e-mail telefon

Avast zhakowany, ale wykrył atak i usunął intruza

Dać się zhakować nie jest trudno. Dużo trudniej jest to wykryć, zanim dojdzie do poważnych szkód. Jeszcze trudniej jest przyznać się do tego, co się stało, dlatego jawność Avast a godna jest podziwu.

Avast zhakowany, ale wykrył atak i usunął intruza

Avastowi, który właśnie ogłosił, że został dość porządnie zhakowany, należy się sporo szacunku za otwarte komunikowanie tego, co mu się przydarzyło. Mało jest firm, które nie boją się opowiadać o swoich wpadkach. Dzięki takim odważnym podmiotom skorzystać możemy wszyscy, analizując prawdziwe ataki i metody ich wykrycia. Co prawda, informacje ujawnione do tej pory przez Avasta są dość skąpe, ale korzystajmy z tego, co już wiemy.

Avast - od VPN-a do administratora domeny

Jak informuje w swoim wpisie Avast, 23 września odkrył podejrzaną aktywność w swojej sieci. Intensywne śledztwo i wdrożenie ATA (Advanced Threat Analysis) Microsoftu pozwoliło na zidentyfikowanie nietypowego wydarzenia, do którego doszło 1 października. Tego dnia ktoś dokonał replikacji usługi katalogowej (zapewne AD) z zakresu IP należącego do wewnętrznej usługi VPN. Początkowo uznano ten alert za błąd systemu oceniającego charakter wydarzenia, jednak dalsze śledztwo wykazało, że replikacji dokonał użytkownik, który nie miał potrzebnych uprawnień.

Ktokolwiek stał za atakiem, nie tylko poznał dane uwierzytelniające jednego z użytkowników, ale także udało mu się podnieść uprawnienia do poziomu administratora domeny, co wskazuje na powagę ataku. Połączenia do sieci Avasta następowały z różnych adresów IP, w tym z Wielkiej Brytanii. Prześledzenie historii połączeń pokazało, że próby nieautoryzowanego dostępu sięgały 14 maja.

Sukcesu atakujących należy upatrywać w błędzie popełnionym przez administratorów Avasta. Atakujący wykorzystał tymczasowy profil VPN, który powinien był być skasowany, ponieważ nie wymagał dwuskładnikowego uwierzytelnienia. ATA odnotował kilka logowań: 14 i 15 maja, 24 lipca, 11 września oraz 4 października. Przestępcy używali różnych zestawów danych uwierzytelniających.

Avast zhakowany, ale wykrył atak i usunął intruza

Celem CCleaner?

Avast wskazuje, że jego zdaniem celem włamywaczy były pliki instalatora CCleanera, którego Avast kupił jakiś czas temu. CCleaner był już w roku 2017 celem zaawansowanego ataku, o którym napisaliśmy niejeden artykuł. Avast wstrzymał na czas śledztwa prace nad wydaniem nowej wersji programu. Po dwóch tygodniach obserwowania włamywaczy postanowił unieważnić poprzednie klucze podpisujące pliki CCleanera. Przegląd kodu wydanych wersji nie wykrył żadnych anomalii. Avast usunął także tymczasowy profil VPN oraz zresetował wszystkie hasła używane w organizacji. Trwa dalsza analiza ataku.

Podsumowanie

Nie ma żadnego dowodu, by wydane wersje Avasta lub CCleanera były zainfekowane. Avastowi należą się gratulacje za ujawnienie incydentu (chociaż jego opis zawiera wiele luk, które – mamy nadzieję – Avast kiedyś uzupełni). Ataki na producentów AV nie są niczym nowym – w 2015 ofiarą włamywaczy (prawdopodobnie izraelskiego wywiadu) padł też Kaspersky. Z kolei w 2014 wykradziono dane użytkowników forum Avasta, a w 2013 ofiarą spektakularnego ataku padła firma Bit9. W 2012 do włamań doszło w firmach Panda oraz Sophos, wcześniej wykradziono także kod Symanteca. Niestety żyjemy w czasach, w których bycie na celowniku obcego wywiadu oznacza nierówną walkę ze świetnie wyposażonym przeciwnikiem.

Źródło: zaufanatrzeciastrona.pl

Firma CSK dostarcza rozwiązania antywirusowe najwyższej klasy. Oferujemy swoim klientom program antywirusowy pod nazwą MAV, który działa na silniku, jednego z najlepszych programów antywirusowych, Bitdefender. W przypadku pytań zapraszamy do kontaktu.

Poprzedni artykuł: Pracownicy IT coraz drożsi w rekrutacji

Masz pytania? Napisz do nas!

Wyślij wiadomość