Avast afferma che gli hacker hanno violato la rete interna
Il produttore di antivirus ceco rivela il secondo attacco volto a compromettere le versioni di CCleaner.
Il produttore ceco di software per la sicurezza informatica Avast ha rivelato oggi una violazione della sicurezza che ha avuto un impatto sulla sua rete interna.
In una dichiarazione pubblicata oggi, la società ha dichiarato di ritenere che l’obiettivo dell’attacco fosse inserire malware nel software CCleaner, simile al famigerato incidente di CCleaner 2017.
Avast ha dichiarato che la violazione si è verificata perché l’attaccante ha compromesso le credenziali VPN di un dipendente, ottenendo l’accesso a un account che non era protetto, utilizzando una soluzione di autenticazione a più fattori.
L’intrusione è stata rilevata il 23 settembre, ma Avast ha dichiarato di aver trovato prove dell’aggressore che prendeva di mira la sua infrastruttura fin dal 14 maggio di quest’anno.
“L’utente, le cui credenziali erano apparentemente compromesse e associate all’IP, non disponeva dei privilegi di amministratore di dominio. Tuttavia, attraverso una escalation di privilegi è riuscito a ottenere i privilegi di amministratore di dominio”, ha affermato Jaya Baloo , Chief Information Security Officer di Avast ( CISO).
Baloo ha dichiarato che Avast ha intenzionalmente lasciato attivo il profilo VPN compromesso, allo scopo di tracciare l’attaccante e osservarne le azioni.
Questo è durato fino al 15 ottobre, quando la società ha terminato il controllo delle versioni precedenti di CCleaner e ha lanciato un nuovo aggiornamento pulito.
Allo stesso tempo, Avast ha anche modificato il certificato digitale utilizzato per firmare gli aggiornamenti CCleaner. Il nuovo aggiornamento è stato firmato con un nuovo certificato digitale e la società ha revocato il precedente certificato utilizzato per firmare versioni precedenti di CCleaner. Lo ha fatto per impedire agli aggressori di utilizzare per firmare falsi aggiornamenti di CCleaner, nel caso in cui gli hacker siano riusciti a mettere le mani sul vecchio certificato durante la recente intrusione.
“Avendo preso tutte queste precauzioni, siamo certi di dire che i nostri utenti CCleaner sono protetti e non interessati”, ha detto Baloo.
Il produttore dell’antivirus ha dichiarato che sta attualmente indagando sull’incidente insieme all’agenzia di intelligence ceca, il Servizio informazioni di sicurezza (BRI), la divisione di sicurezza informatica della forza di polizia ceca locale e un team forense esterno.
Avast ha affermato che al momento non ci sono prove che suggeriscano che questo attacco sia stato causato dallo stesso gruppo che ha violato la sua infrastruttura nel 2017; tuttavia, la società ha sottolineato che l’intrusione è stata effettuata da un esperto attore di minacce.
“Dalle intuizioni che abbiamo raccolto finora, è chiaro che si è trattato di un tentativo estremamente sofisticato contro di noi che aveva l’intenzione di non lasciare tracce dell’intruso o del loro scopo e che l’attore stava procedendo con eccezionale cautela per non essere rilevato “, ha detto Baloo.
L’inchiesta è in corso e la società ha promesso ulteriori aggiornamenti.
Avast in precedenza aveva ricevuto elogi per l’apertura mostrata durante le indagini sull’hack del CCleaner del 2017, pubblicando numerosi aggiornamenti sull’incidente, mentre apprendeva di più sulla violazione [ 1 , 2 , 3 , 4 ].
L’hack di CCleaner del 2017 è avvenuto prima che Avast acquistasse Piriform, la società dietroche produce CCleaner. Gli hacker hanno violato la rete di Piriform tramite un account TeamViewer e hanno installato malware all’interno di CCleaner. Gli aggressori, ritenuti essere un gruppo di hacker sponsorizzati dallo stato cinese, hanno inserito malware che scaricava un payload di secondo livello solo quando CCleaner era installato sulla rete di una grande azienda. L’elenco degli obiettivi includeva Cisco, Microsoft, Google, NEC e molte altre grandi aziende. Avast ha dichiarato che 2,27 milioni di utenti hanno scaricato il software CCleaner contaminato nel 2017; 1.646.536 computer infettati con il trojan Floxif di primo livello che eseguiva la ricerca di obiettivi di alto valore; ma solo 40 computer hanno ricevuto il trojan di secondo livello, una backdoor più potente.
