Hackers acessaram a rede interna da empresa tcheca de segurança cibernética Avast. Detectadas em 25 de setembro, as tentativas de invasão começaram em 14 de maio, mas os registros da atividade suspeita mostram entradas nos dias 14 e 15 de maio, 24 de julho, 11 de setembro e 4 de outubro. Depois de uma investigação, a desenvolvedora do antivírus determinou que o invasor conseguiria obter acesso usando credenciais comprometidas por meio de uma conta VPN temporária.
Segundo Jaya Baloo, diretora de segurança da Informação da Avast, o ataque parece ser “uma tentativa extremamente sofisticada”. A empresa se refere a essa tentativa de invasão como Abiss e diz que o cibercriminoso exercia extrema cautela para evitar ser detectado e ocultar os traços de sua intenção. Basicamente, o invasor se conectou a partir de um endereço IP público no Reino Unido e aproveitou um perfil de VPN temporário que não deveria mais estar ativo e não estava protegido com autenticação de dois fatores.
Jaya Baloo diz que a empresa recebeu um alerta para “uma replicação maliciosa dos serviços de diretório de um IP interno que pertencia ao nosso intervalo de endereços VPN”. No entanto, o usuário cujas credenciais foram comprometidas não tinham as permissões de um administrador de domínio. O perfil temporário havia sido usado por vários conjuntos de credenciais do usuário, levando a acreditar que eles estavam sujeitos a roubo de credenciais. Suspeitando do CCleaner como o principal alvo, em 25 de setembro a Avast interrompeu as próximas atualizações do software e começou a verificar as versões anteriores.
Para garantir que nenhum risco chegue aos usuários, a empresa assinou novamente lançou atualização automática do CCleaner em 15 de outubro. Essa versão atualizou os usuários para que pudessem se beneficiar de segurança aprimorada. “Ficou claro que, assim que lançássemos a versão recém-assinada do CCleaner, estaríamos dando uma mão para os agentes maliciosos. Nesse momento, fechamos o perfil temporário da VPN. Ao mesmo tempo, desativamos e redefinimos todos credenciais de usuário interno. Simultaneamente, com eficácia imediata, implementamos um exame adicional a todas as versões”, explica Jaya Baloo.
A Avast continuará revisando e monitorando suas redes para melhor detecção e resposta mais rápida no futuro. A investigação nas ações desse agente de ameaça também continuará, para obter informações sobre como eles funcionam. Alguns detalhes, como os endereços IP usados para a invasão, foram compartilhados com a polícia e a comunidade de segurança cibernética, mas essas informações não podem ser compartilhadas em público por enquanto.
Fonte: Canaltech