Hlavní navigace

Avast byl cílem kybernetického útoku, na vyšetřování spolupracuje s BIS a policií

21. 10. 2019

Sdílet

Avast - logo Autor: Avast

Avast se stal cílem kybernetických útoků, které označuje za sofistikovanou špionáž mířící na jeho produkty. Útok pojmenovaný Abiss nadále už byl zastaven.

Firma ve své síti 23. září letošního roku zjistila podezřelé chování a rozjela vyšetřování, v rámci kterého spolupracuje s Bezpečnostní informační službou (BIS), divizí kybernetické bezpečnosti české policie a externím forenzním týmem.

Jaya Baloo z Avastu se o útoku rozepisuje konkrétněji:

Shromážděné důkazy ukazovaly na aktivitu v MS ATA/VPN z 1. října. Znovu jsme překontrolovali výstrahu MS ATA, kterou jsme původně označili jako falešně pozitivní a která signalizovala, že došlo k podezřelé replikaci adresářů z interní IP adresy patřící mezi naše VPN adresy. Ukázalo se, že uživatel, jehož přihlašovací údaje byly zjevně zcizeny a přidruženy k IP adrese, neměl oprávnění správce domény, ale úspěšně navýšil svá oprávnění, a tak se mu podařilo získat přístupy správce domény. Připojení se uskutečnilo z veřejné IP adresy z hostingu M247 ve Velké Británii, útočník ale použil i další výstupní body stejného VPN poskytovatele.

Při analýze externích IP adres jsme zjistili, že útočník se pokoušel získat přístup k síti prostřednictvím naší VPN už 14. května 2019.

Po dalším rozboru vyšlo najevo, že interní síť byla přístupná prostřednictvím zcizených přihlašovacích údajů přes dočasný VPN profil, který zůstal chybně povolený a nevyžadoval dvoufázové ověření.

Znovu jsme tuto aktivitu zpozorovali 4. října. Konkrétní časy podezřelé aktivity označené MS ATA jsou (vždy v časovém pásmu GMT+ 2):

  • 14:00  14. května 2019
  • 04:36  15. května 2019
  • 23:06  15. května 2019
  • 15:35  24. července 2019
  • 15:45  24. července 2019
  • 15:20  11. září 2019
  • 11:57   4. října 2019

Záznamy dále ukázaly, že dočasný profil použil několik sad uživatelských údajů, z čehož jsme usoudili, že tyto přístupové údaje byly kradené.

Abychom mohli sledovat aktéra, nechali jsme dočasný VPN profil otevřený a pokračovali v monitorování a vyšetřování přístupů procházejících tímto profilem až do chvíle, kdy jsme byli připraveni zjednat nápravu.

Souběžně s naším monitorováním a vyšetřováním jsme prováděli proaktivní opatření na ochranu našich uživatelů a kompletně jsme odizolovali prostředí, ve kterém sestavujeme produkty a vydáváme aktualizace.

Zpočátku jsme se domnívali, že cílem útoku v dodavatelském řetězci byl náš produkt a populární optimalizační nástroj CCleaner, podobně jako v roce 2017. Přesto jsme pokračovali v rozsáhlejších nápravných krocích.

25. září jsem zastavili vydání CCleaneru a začali kontrolovat jeho předchozí verze, abychom si byli jisti, že nebyly manipulovány. Následně jsme preventivně vydali novou aktualizaci, kterou jsme uživatelům poskytli formou automatické aktualizace 15. října, a také jsme zrušili předchozí certifikát. Po přijetí všech těchto preventivních opatření můžeme s jistotou říci, že uživatelé CCleaneru jsou chráněni a nebyli zasaženi.

Bylo jasné, že jakmile vydáme novou verzi CCleaneru, tak útočníci poznají, že o nich víme, takže jsme zavřeli dočasný VPN profil. Zároveň jsme deaktivovali a resetovali všechny přístupové údaje našich zaměstnanců. Zastavili jsme také veřejná vydání našich dalších produktů, abychom zajistili, že všechny aktualizace budou před vydáním podrobeny rozsáhlé kontrole.

Kromě toho jsme ještě více zpřísnili zabezpečení našeho síťového prostředí a přípravu vydávání nových verzí produktů Avastu. Součástí opatření bylo i resetování všech přístupových údajů našich zaměstnanců.

Z poznatků, které jsme dosud shromáždili, je zřejmé, že se jednalo o nesmírně sofistikovaný pokus namířený proti nám. Aktér postupoval s mimořádnou opatrností a snažil se nezanechat stopy po sobě, ani po účelu celé akce. Nevíme, jestli to byl stejný aktér jako předtím, a je pravděpodobné, že to nikdy nebudeme s jistotou vědět, takže jsme tento pokus nazvali „Abiss“.

I nadále pokračujeme v rozsáhlém monitorování napříč interními sítěmi a systémy, protože chceme zlepšit naši detekční a reakční dobu. Prozkoumáváme dál naše záznamy, abychom odhalili pohyb a postupy útočníka. Ve spolupráci s širší kybernetickou komunitou i bezpečnostními složkami pak pokračujeme ve vyšetřování činnosti aktérů tohoto pokusu o útok. Abychom maximálně napomohli vyšetřování, předali jsme jim pod podmínkou mlčenlivosti detailní indikátory včetně IP adres aktéra útoku.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.

Byl pro vás článek přínosný?

Autor aktuality

Reportér Lupa.cz a E15. O technologiích píše také do zahraničních médií.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).