Em um comunicado feito pela própria empresa, a Avast reconheceu ter sido vítima de uma campanha de espionagem cibernética. Os hackers tiveram acesso à rede. Segundo a empresa, trabalhar constantemente contra os ataques “não surpreende que eles próprios possam ser um alvo deles”. Sendo assim, Hackers invadem rede da Avast, tendo o CCleaner como possível alvo.
No dia 23 de setembro eles descobriram ‘comportamento suspeito’ em sua rede, iniciando uma investigação na época. Eles colaboraram com a agência de inteligência tcheca, o BIS (Serviço de Informações de Segurança), bem como com a polícia tcheca local e uma equipe forense externa.
Como antecipamos, o alerta saltou no Avast em 23 de setembro, embora em 1º de outubro as evidências necessárias foram reunidas para verificar se um ataque foi realizado. Especificamente, eles apontam para uma “replicação maliciosa dos serviços de diretório de um IP interno”.
Hackers invadem rede da Avast
Esses serviços de diretório, como lemos na Forbes, referem-se a softwares que permitem aos administradores.Uma conta de usuário comprometida (sem permissões de administrador de domínio) foi acessada , na qual eles conseguiram escalar as permissões.
As evidências que reunimos apontaram para a atividade no MS ATA / VPN em 1º de outubro, quando verificamos novamente um alerta do MS ATA de uma replicação maliciosa dos serviços de diretório de um IP interno que pertencia ao nosso intervalo de endereços VPN, que originalmente Ele se considerou um falso positivo. O usuário, cujas credenciais foram aparentemente comprometidas e associadas ao IP, não tinha privilégios de administrador de domínio. No entanto, por meio de uma escalada bem-sucedida de privilégios, o ator conseguiu obter privilégios de administrador de domínio. A conexão foi feita a partir de um IP público hospedado fora do Reino Unido e determinamos que o invasor também usava outros pontos de extremidade através do mesmo provedor de VPN.
Analisando os IPs externos, a Avast descobriu que tentava acessar a rede através da própria VPN da Avast desde 14 de maio . Desde essa data, houve várias tentativas de acessar nomes de usuário e senhas diferentes para acessar a VPN. Como se costuma dizer, foi possível acessar a rede interna por meio de um perfil VPN temporário que foi ativado por engano e que não exigia autenticação em duas etapas no momento da conexão.
CCleaner como um possível potencial alvo
Da Avast, eles apontam que o CCleaner pode ser o objetivo principal. O software já foi atacado há dois anos. Este software já foi hackeado em 2017, agora pertencente à Avast. Com a suspeita em cima da mesa, a empresa verificou as versões anteriores do CCleaner e interrompeu as que estavam prestes a sair. Da mesma forma, eles assinaram uma atualização do produto que foi enviada e instalada automaticamente em 15 de outubro.
A partir das idéias que reunimos até agora, fica claro que foi uma tentativa extremamente sofisticada contra nós que ele pretendia não deixar vestígios do invasor ou de seu propósito, e que o ator estava progredindo com cautela excepcional para não ser detectado Não Sabemos se esse foi o mesmo ator de antes e provavelmente nunca sabemos ao certo, então chamamos essa tentativa de ‘Abiss’.
Da Avast afirmam que, após as atualizações de segurança enviadas, os usuários ficam totalmente protegidos e continuam com o monitoramento e o estudo desses ataques, para tentar obter informações sobre o principal ator do ataque.
Fonte: Genbeta