Hlavní navigace

Jaya Baloo (Avast): Jako paranoik nevěřím, že jsme útočníka z naší sítě dostali pryč

Jan Sedlák

Bezpečnostní šéfka Avastu v rozhovoru pro Lupu mluví o útoku z loňského roku, kdy zřejmě Číňané napadli CCleaner.

Doba čtení: 10 minut

Sdílet

Česká kyberbezpečnostní společnost Avast koncem loňského roku zaznamenala kybernetický útok na populární nástroj CCleaner. Útočníci se skrze něj snažili dostat do infrastruktury zákazníků Avastu. Ten na odříznutí útoků spolupracoval s Bezpečnostní informační službou (BIS) a zdejší policií. BIS akci přisoudila hackerům z Číny.

Jaya Baloo do Avastu nastoupila na pozici šéfky kybernetické bezpečnosti (Chief Information Security Office, CISO) pár dní po odhalení toho, že se něco divného děje. Dříve na stejné pozici pracovala pro operátora KPN a působila i ve Verizonu a France Telecomu.

Baloo v rozhovoru pro Lupu popisuje, co následovalo, a mluví o tom, že jako bezpečnostní paranoik nevěří, že by útočník byl ze sítě pryč. Avast zároveň v serverové infrastruktuře používá hardware od Huawei. Ta má jako celek projít komplexním prozkoumáním.

Jak vypadaly první hodiny po odhalení útoku ve vaší síti?

Do Avastu jsem nastoupila prvního října 2019, ovšem první důkazy toho, že se něco stalo, jsme objevili už týden předtím. Byla jsem ve vlaku z Bruselu a obdržela jsem telefonát, že se děje něco divného v naší síti a že tým přemýšlí o tom, že by požádal o pomoc externí forenzní tým. Byla to rychlá eskalace a bylo třeba porozumět tomu, co vidíme a co s tím v následujících krocích budeme dělat.

Měli jsme menší interní bezpečnostní tým, ale potřebovali jsme pomoci s věcmi, na které jsme neměli kapacity či zkušenosti. I díky dřívějším zkušenostem s nakažením CCleaneru jsme začali dělat několik prvních kroků. „Nahnali“ jsme do jedné ze zasedaček inženýry a snažili se řešit dvě věci naráz – museli jsme vystopovat lupiče, který už byl v našem domě, a zároveň odhalit nejslabší články zabezpečení. Už od dřívější aféry s CCleanerem jsme měli kontakty na české bezpečnostní složky, jako jsou BIS, a zeptali jsme se jich, zda by nám mohli pomoci. Zde z logických důvodů nemohu být konkrétní, ale s jejich přičiněním jsme byli schopní identifikovat oblasti, na které se máme dívat, a zároveň nás pomohli nasměrovat k tomu, kdo by mohl být útočníkem.

To, že se něco divného děje, jsme zjistili přes VPN logy a dívali jsme se také na záznamy v Active Directory (AD). Přešli jsme to takzvaného lockdown módu. To znamená, že žádné nové verze našich aplikací nesměly jít ven a vše muselo být zkontrolováno. Tyto akce probíhaly souběžně. Podařilo se nám najít VPN profil, který byl zneužit, dále zneužitý AD záznam a další.

Zároveň jsme kontrolovali předchozí verzi našich vydaných nástrojů, a to od data, kdy mohlo dojít k prvnímu potenciálnímu napadení. V Avastu nové věci vydáváme každý den, takže to bylo poměrně náročné. Dívali jsme se také na další oblasti, které útočníci mohli napadnout – typicky na code signing a podobně. Po debatách s bezpečnostními složkami jsme došli k tomu, že předmětem útoku je opět CCleaner. Zaměřili jsme se i na nové code signing klíče. Museli jsme pracovat s verzí, že mohlo dojít k nejhorší variantě a došlo ke kompromitaci až na této úrovni. Vydali jsme tedy nové klíče a zrušili ty staré.

Kolik lidí se do akce zapojilo?

Začali jsme pracovat s asi patnácti lidmi a postupně se tým rozšířil na více než stovku. „Přestavovali“ jsme vše a bylo to nutné. Kolik lidí na případu dělalo v BIS a policii, nevím.

Při akcích tohoto typu žádáte lidi, aby pracovali přes víkend, zůstávali přes noc a podobně. Já nastoupila do nové práce, přičemž rodinu mám v Amsterdamu. Snažili jsme se různě zvedat morálku (na mobilu ukazuje na selfie fotky s týmem – poznámka redakce), bylo to šílené.

Lze říci, že jste se útočníků v tomto případě zbavili a problém plně zažehnali?

Já osobně jsem paranoidní, což je věc, kterou si klidně dám jako kvalifikaci do svého životopisu. Takže nevěřím, že jsme útočníka z naší sítě dostali pryč. Musím to brát jako nejhorší možný scénář. Na Slacku mi nyní někteří kolegové poněkud spílají, protože je nutím dělat různé bezpečnostní postupy a procesy.

Jaya Baloo, Avast
Autor: Avast

Jaya Baloo, Avast

Jak je možné, že se útočníci dostali k vašemu VPN profilu?

Jsme společnost plná odborníků na kybernetickou bezpečnost a softwarových a hardwarových inženýrů. Kdybyste se nás zeptal před několika měsíci, řekli bychom, že věříme, že naše síť a IT infrastruktura je výrazně lépe zabezpečená než infrastruktura průměrného podniku. Nejspíše si to dovolím tvrdit i nyní, protože my jsme si alespoň vědomí rizik, víme, na co se dívat, jak postupovat a tak dále. To, že víme, na co se dívat, je velice důležité. Firmy často dostávají různé notifikace, ale dívají se především na ty, které „nejvíce blikají“, a ne na ty, které jsou skutečně důležité. Myslím si, že každá společnost je dnes po útoky, ovšem ne každá o tom ví.

Kompromitovaný VPN profil byl dočasný a nepoužíval dvoufaktorové ověřování. Kdokoliv, kdo měl heslo, se k němu mohl dostat. Upřímně si nejsme jistí, jak útočníci profil našli. Zároveň tento profil byl až poslední položkou v pull down menu a většina lidí ani nevěděla, že tam je. (Podrobnější průběh celé akce naleznete v boxu pod rozhovorem, případně zde.)

Znáte motivaci útočníků?

Ne. A zároveň si myslím, že přisuzování těchto věcí není to, co by měly společnosti dělat samy. Pro tento účel je třeba více než logy. Tyto kapacity nemáme a nejsme bezpečnostní složka státu nebo vláda.

Takže ani nemůžete potvrdit, zda byl útok sponzorovaný nějakým státem?

Nepřisuzuji a na nikoho neukazuji. Nevím, zda útočníci byli dobře financováni a tak dále. Nechávám to na BIS, která je v tomto ohledu mnohem schopnější a vybavenější.

BIS uvedla, že vše nasvědčuje tomu, že útok přišel z Číny.

Věřila bych BIS.

BIS ve vašem případě mluvila o velice sofistikované kybernetické špionáži. Souhlasíte s tímto tvrzením?

Ano, souhlasím. A to z pohledu zacílení. Je velký rozdíl v tom, když plošně zkoušíte útoky s tím, že se někdo chytne, a v tom, když na někoho útočíte cíleně. Útočníci se v tomto případě naučí věci typu denní režim, slabé stránky a další šablony. Poznají svůj cíl a pochopí, jak ho napadnout. To už není tak jednoduché. Hodně firem používá VPN, jak ale zjistili jednu slabou stránku toho našeho? To vyžaduje určitou motivaci pozorovat, zkoušet, sbírat informace.

Část vaší serverové hardwarové infrastruktury běží na technologiích od Huawei. Vidíte to jako riziko?

Jak jsem říkala, jsem paranoidní. Netýká se to pouze Huawei, ale všech společností. V Nizozemsku jsem pracovala v KPN (největší tamní telekomunikační operátor – poznámka redakce), kde jsme měli zakázaný Kaspersky Lab. Snažím se aplikovat jeden základní princip, a sice ten, že neschválím a nepoužiji nic, nad čím nemám kontrolu. Je mi jedno, kdo hardware udělal, když nebudeme moci zjistit, jak funguje, a ověřit si řadu věcí. Chci mít možnost penetračního testování, porovnání kódů, komplexní analýzy. Nyní jsme ve fázi, kdy po popisovaném incidentu prozkoumáváme celou naší IT infrastrukturu a kontrolu budeme utahovat.

Jak probíhala vaše spolupráce s BIS?

Chtěla bych ujasnit, že nemáme žádnou běžnou spolupráci s žádnou státní bezpečnostní agenturou. Jsme soukromá kyberbezpečnostní společnost. Důvodem, proč jsme s BIS spolupracovali, je to, že jsme byli obětí útoku a sídlíme v Česku. Případně s úřady komunikujeme, když zaznamenáme nějakou nekalou činnost. Vždy jde o komunikaci typickou pro daný případ.

V čem přesně vám BIS a česká policie pomohly?

Jsme firma sídlící v této zemi, což nám vedle určitých povinností dává i určitá řekněme privilegia. V tomto případě jím bylo to, že jsme mohli zaklepat na něčí dveře a požádat o pomoc. BIS nám pomohla s nasměrováním toho, o co útočníkům jde a kudy se mohli vydat. Zároveň jsme komunikovali s britskými úřady, protože námi koupený Piriform (autoři CCleaneru – poznámka redakce) sídlí ve Velké Británii. Díky tomu můžeme získat informace o dalších datech a ve vyšetřování se dostat i za hranice toho, co můžeme my.

Má BIS vysoké technické kapacity?

Ano, ví, co dělají. Zjistila jsem, že jsou dobří. Příjemně mě to překvapilo (smích). My jako techničtí lidé jsme poměrně nároční v tom, když si o technických věcech máme s někým povídat a odborně vše řešit. Nemáme v tomto ohledu moc empatie. V BIS jsme našli schopného partnera.

Jste spokojení s akvizicí Piriformu, respektive CCleaneru? Prozatím se kolem něj točí samá kauza a vypadá spíše jako zadřená tříska…

Jako šéf kyberbezpečnosti se musím na situaci dívat tak, že ať už se firma rozhodne vydat jakýmkoliv obchodním směrem, mojí úlohou je ji ochránit. Můžu upozorňovat, ukazovat potenciální rizika a tak dále. Zároveň jsem při koupi Piriformu ještě v Avastu nebyla.

Proč se útočníci „pořád“ zaměřují zrovna na CCleaner?

Klíčem jsou zákazníci, kteří CCleaner používají. Myslíme si, že cílem útoku není CCleaner jako takový, ale supply chain, který je s ním spojený. CCleaner je cestou a způsobem, jak se dostat k našim zákazníkům. („Tento typ útoku se zaměřuje na dodavatelské řetězce a není při něm hlavním cílem firma samotná, nýbrž její zákazníci,“ potvrdila i BIS – poznámka redakce.) Musíme mít nulovou toleranci k tomu, aby bylo možné skrze naše produkty napadnout naše zákazníky.

MIF20 tip obecny

Budete následkem diskutovaného útoku zavádět nějaké nové procesy či pravidla?

Ano, mám sestavený zhruba roční plán. Chceme nabrat poměrně dost lidí se specifickými dovednostmi, vyškolit zaměstnance v síťové bezpečnosti a v jisté přísnosti se jako firma dostat na vyšší úroveň.

Jaya Baloo popisuje útok na Avast:

Shromážděné důkazy ukazovaly na aktivitu v MS ATA / VPN z 1. října. Znovu jsme překontrolovali výstrahu MS ATA, kterou jsme původně označili jako falešně pozitivní a která signalizovala, že došlo k podezřelé replikaci adresářů z interní IP adresy patřící mezi naše VPN adresy. Ukázalo se, že uživatel, jehož přihlašovací údaje byly zjevně zcizeny a přidruženy k IP adrese, neměl oprávnění správce domény, ale úspěšně navýšil svá oprávnění, a tak se mu podařilo získat přístupy správce domény. Připojení se uskutečnilo z veřejné IP adresy z hostingu M247 ve Velké Británii, útočník ale použil i další výstupní body stejného VPN poskytovatele.

Při analýze externích IP adres jsme zjistili, že útočník se pokoušel získat přístup k síti prostřednictvím naší VPN už 14. května 2019.

Po dalším rozboru vyšlo najevo, že interní síť byla přístupná prostřednictvím zcizených přihlašovacích údajů přes dočasný VPN profil, který zůstal chybně povolený a nevyžadoval dvoufázové ověření.

Znovu jsme tuto aktivitu zpozorovali 4. října. Konkrétní časy podezřelé aktivity označené MS ATA jsou (vždy v časovém pásmu GMT +2):

  • 14:00  14. května 2019
  • 04:36  15. května 2019
  • 23:06  15. května 2019
  • 15:35  24. července 2019
  • 15:45  24. července 2019
  • 15:20  11. září 2019
  • 11:57   4. října 2019

Záznamy dále ukázaly, že dočasný profil použil několik sad uživatelských údajů, z čehož jsme usoudili, že tyto přístupové údaje byly kradené.

Abychom mohli sledovat aktéra, nechali jsme dočasný VPN profil otevřený a pokračovali v monitorování a vyšetřování přístupů procházejících tímto profilem až do chvíle, kdy jsme byli připraveni zjednat nápravu.

Souběžně s naším monitorováním a vyšetřováním jsme prováděli proaktivní opatření na ochranu našich uživatelů a kompletně jsme odizolovali prostředí, ve kterém sestavujeme produkty a vydáváme aktualizace.

Zpočátku jsme se domnívali, že cílem útoku v dodavatelském řetězci byl náš produkt a populární optimalizační nástroj CCleaner, podobně jako v roce 2017. Přesto jsme pokračovali v rozsáhlejších nápravných krocích.

25. září jsem zastavili vydání CCleaneru a začali kontrolovat jeho předchozí verze, abychom si byli jisti, že nebyly manipulovány. Následně jsme preventivně vydali novou aktualizaci, kterou jsme uživatelům poskytli formou automatické aktualizace 15. října, a také jsme zrušili předchozí certifikát. Po přijetí všech těchto preventivních opatření můžeme s jistotou říci, že uživatelé CCleaneru jsou chráněni a nebyli zasaženi.

Bylo jasné, že jakmile vydáme novou verzi CCleaneru, útočníci poznají, že o nich víme, takže jsme zavřeli dočasný VPN profil. Zároveň jsme deaktivovali a resetovali všechny přístupové údaje našich zaměstnanců. Zastavili jsme také veřejná vydání našich dalších produktů, abychom zajistili, že všechny aktualizace budou před vydáním podrobeny rozsáhlé kontrole.

Kromě toho jsme ještě více zpřísnili zabezpečení našeho síťového prostředí a přípravu vydávání nových verzí produktů Avastu. Součástí opatření bylo i resetování všech přístupových údajů našich zaměstnanců.

Z poznatků, které jsme dosud shromáždili, je zřejmé, že se jednalo o nesmírně sofistikovaný pokus namířený proti nám. Aktér postupoval s mimořádnou opatrností a snažil se nezanechat stopy po sobě, ani po účelu celé akce. Nevíme, jestli to byl stejný aktér jako předtím, a je pravděpodobné, že to nikdy nebudeme s jistotou vědět, takže jsme tento pokus nazvali „Abiss“.

I nadále pokračujeme v rozsáhlém monitorování napříč interními sítěmi a systémy, protože chceme zlepšit naši detekční a reakční dobu. Prozkoumáváme dál naše záznamy, abychom odhalili pohyb a postupy útočníka. Ve spolupráci s širší kybernetickou komunitou i bezpečnostními složkami pak pokračujeme ve vyšetřování činnosti aktérů tohoto pokusu o útok. Abychom maximálně napomohli vyšetřování, předali jsme jim pod podmínkou mlčenlivosti detailní indikátory včetně IP adres aktéra útoku.