Na pewno informacji o plikach, certyfikatach, kompilatorów, debugerów, kodów źródłowych, zaangażowanych programistów w pracę nad rozwiązaniami tej firmy, haseł dostępowych i najróżniejszych metadanych, które mogłyby pomóc w dotarciu np. do partnerów firmy Avast. Na tym głównie polegają współczesne ataki ATP, czyli na przejęciu kontroli nad ważnymi informacjami, aby można było zaszantażować producenta lub przeprowadzić masowe ataki – będące zasłoną dymną – maskujące prawdziwe cele cyberprzestępców.
Fakt, że hakerzy mieli dostęp do sieci firmy Avast, nie jest dobrą wiadomością dla całej branży bezpieczeństwa, jednak postawa Czechów, była niemal wzorowa. Niemal, ponieważ teraz każdy ekspert chciałby mieć dostęp do szczegółów technicznych, a te z uwagi na prowadzone dochodzenie, nie mogą zostać ujawnione na tak wczesnym etapie.
Co właściwie się stało? Dlaczego Avast został zaatakowany?
Firma Avast skomentowała incydent na swoim blogu. Brawo za transparentność! W przeciwieństwie do dostawcy NordVPN, który zaliczył niezłą wpadkę!
Szefowa Avasta ds. ochrony informacji powiedziała, że hakerzy ponownie chcieli uzyskać dostęp do łańcucha aktualizacji CCleaner, co pozwoliłoby zainstalować złośliwy kod na milionach komputerów! Skala takiego incydentu byłaby bez precedensu, a skutki trudne do przewidzenia.
Atak na łańcuch dostaw to jeden z najniebezpieczniejszych i najskuteczniejszych wektorów infekcji, coraz częściej wykorzystywany w zaawansowanych operacjach przestępczych na przestrzeni ostatnich kilku lat. Mogło się o tym przekonać miliony użytkowników oprogramowania ASUS. Taki atak wykorzystuje konkretne słabe punkty we wzajemnie połączonych systemach zasobów ludzkich, organizacyjnych, materiałowych oraz intelektualnych biorących udział w cyklu życia produktu: od wstępnego etapu rozwoju po użytkownika końcowego. Mimo zabezpieczeń infrastruktury producenta luki mogą występować w systemach jego dostawców, sabotując łańcuch dostaw i prowadząc do destrukcyjnego i nieoczekiwanego naruszenia bezpieczeństwa danych.
Avast już w maju br. zauważył próby ataku na infrastrukturę sieciową CCleanera. Teraz firma podaje więcej szczegółów:
- Niektóre krytyczne stacje robocze i serwery Avasta są chronione przez produkt Microsoft Advanced Threats Analytics, który zaalarmował administratorów o anomaliach w sieci.
- Hakerzy uzyskali dostęp do sieci za pomocą tymczasowego konta VPN łączącego stacje robocze z siecią firmową. Niestety konto nie zostało dezaktywowane na czas, więc hakerzy uzyskali dostęp do administratora domeny! Ów użytkownik sieci VPN nie miał stosownych uprawnień, jednak złemu aktorowi udało się uzyskać uprawnienia administratora domeny. W jaki sposób? Nie podano szczegółów co doprowadziło do eskalacji uprawnień. Luka? Jeśli tak, to konkretnie jaka i w jakim oprogramowaniu/systemie?
- Analiza wykazała, że przestępcy próbowali dostać się do sieci aż siedem razy w roku 2019. Pierwsze aktywności zaraportowano w maju br.
- Znając już wektor ataku pracownicy Avast zastawili pułapkę. Podstawili tymczasowy profil VPN nie przerywając monitorowania. I udało się. Atakujący połączył się z tymczasowym kontem VPN z publicznego adresu IP z Wysp Brytyjskich (celowo nie włączono drugiego składnika uwierzytelniającego). Więcej informacji nie podano.
Ogólnie rzecz biorąc Avast poinformował, że ten sam profil tymczasowy konta VPN był używany przez wielu pracowników, którzy zostali narażeni na kradzież danych logowania i dostęp do sieci, a nawet kradzież dokumentów lub plików z sieci Avasta.
Firma poinformowała również, że nie ma wyraźnych dowodów na to, że za atakiem stoją ci sami hakerzy, co w 2017 roku.
Co tak naprawdę zrobił Avast i dlaczego systemy EDR to przyszłość?
Po wykryciu ataku we wrześniu, jeszcze tego samego wstrzymano cykl wydawniczy aktualizacji CCleanera. Następnie cofnięto dla aktualnego instalatora certyfikat. Kolejno sprawdzono wszystkie poprzednie wersje oprogramowania CCleaner pod kątem złośliwych zmian. Na końcu wyłączono i zresetowano wszystkie wewnętrzne poświadczenia logowania w sieci firmowej. W październiku udostępniono nowy instalator aplikacji z nowym certyfikatem.
Do obowiązku Avasta należało poinformowanie odpowiednich służb. Rozpoczęto współpracę z czeską agencją wywiadowczą, lokalną jednostką policji ds. cyberbezpieczeństwa oraz zewnętrznymi audytorami.
Na koniec przypomnijmy za pomocą jakiego rozwiązania Avast chroni swoje zasoby. Microsoft ATA (Advanced Threat Analytics) do działania wykorzystuje analizę opartą o reguły wykrywania zaawansowanych ataków w czasie rzeczywistym. Według Microsoftu narzędzie Advanced Threat Analytics jest w stanie wykryć ataki Pass-the-Ticket, Pass-the-Hash, Overpass-the-Hash, Forged PAC (MS14-068), Remote execution, Golden Ticket, Skeleton key malware, Reconnaissance i Brute Force. Ponadto ATA potrafi zidentyfikować źle skonfigurowane urządzenia pod kątem zabezpieczeń i zasugerować zmianę ustawień: wyłączenie niektórych portów, skorzystanie z nowszych i wolnych od luk wersji protokołów. Więcej o Microsoftowym rozwiązaniu klasy EDR (Endpoint Detection and Response) można przeczytać oczywiście na AVLab.
