Поделиться
Корпоративную сеть Avast атаковали хакеры
Международные компании по кибербезопасности все чаще становятся целями хакерских атак, кибершпионажа и даже некоторого саботажа на уровне государства, о чем свидетельствуют многочисленные сообщения о взломах данных и атаках за последние несколько лет. Специалисты Avast постоянно работают, чтобы отражать все атаки на пользователей. Неудивительно, что сама компания Avast стала целью преступников.
23 сентября 2019 г. специалисты Avast заметили подозрительные действия в корпоративной сети и начали немедленное расследование. Сотрудники компании объединились с чешским разведывательным агентством, Службой информационной безопасности (BIS), местным подразделением кибербезопасности полиции Чехии и внешней группой экспертов по
Анализируя внешние IP-адреса, эксперты обнаружили, что злоумышленник пытался получить доступ к сети через VPN еще 14 мая этого года.
Оказалось, что доступ к внутренней сети был осуществлен с использованием скомпрометированных учетных данных через временный профиль VPN, который был ошибочно оставлен включенным и не требовал двухфакторной аутентификации.
4 октября эксперты снова наблюдали эту активность. Временные метки подозрительной активности, помеченной MS ATA, (часовой пояс GMT +2): 2:00 — 14 мая 2019 г.; 4:36 — 15 мая 2019 г.; 23:06 — 15 мая 2019 г.; 3:35 — 24 июля 2019 г.; 3:45 — 24 июля 2019 г.; 15:20 —11 сентября 2019 г.; 11:57 — 4 октября 2019 г.
Специалисты предположили, что вероятной целью атаки был CCleaner, как это произошло в 2017 г.
25 сентября сотрудники Avast остановили работу CCleaner и начали проверять предыдущие версии CCleaner. Они убедились, что никаких вредоносных изменений не было.
В качестве двух дальнейших превентивных мер эксперты, во-первых, создали обновление продукта и отправили пользователям автоматическое обновление 15 октября, а во-вторых, отозвали предыдущий сертификат.
Из собранной информации становится ясно, что это была чрезвычайно изощренная попытка взлома. Хакеры сделали все возможное, чтобы не оставить никакой информации о себе и своих целях. Невозможно определить, были ли это те же люди, что и раньше, поэтому эту попытку назвали Abiss.
Специалисты Avast продолжают проводить подробный мониторинг в сетях и системах, чтобы максимально сократить время обнаружения угрозы и реакции на нее. Кроме того, исследователи вместе со сторонними экспертами планируют дополнительно изучать журналы, чтобы выявить, когда и как проявляли себя хакеры. Уже известны IP-адреса злоумышленников. Расследование продолжается.
Поделиться
Короткая ссылка
