Avast:两年内第二起针对CCleaner的内网入侵活动
捷克网络安全软件制造商Avast近期公开了一起影响其内部网络安全的事件。
在发布的一份声明中,该公司表示,有外部攻击者入侵了公司内部网络,而攻击者的目的是往CCleaner
软件中植入后门,就像2017年发生的CCleaner
安全事件一样。
Avast表示,攻击者之所以能成功入侵,是因为一名员工的VPN登录凭据被攻击者窃取,同时这个帐户缺少多因素身份验证,使得攻击者直接登录了内部网络。
此次入侵是在今年9月23日被发现的,同时Avast也表示,有证据表明,攻击者早在5月14日就开始对Avast的网络进行了试探。
可疑活动时间表
2019年5月14日凌晨2:00
2019年5月15日凌晨4:36
2019年5月15日晚上11:06
2019年7月24日下午3:35
2019年7月24日下午3:45
2019年9月11日下午3:20
2019年10月4日上午11:57
根据Avast首席信息安全官Jaya Baloo的说法:“被窃取的员工身份是没有域管理权限的,不过攻击者在进入网络后通过非法提权成功获得了域管理员权限。”
Baloo告诉ZDNet网站,正是这种异常的权限提升使公司注意到了内部网络的恶意活动。
工作人员最终在Avast的ATA面板中里找到了一系列安全告警,这些警报之前都被工程师们忽略了,以为是误报。值得一提的是,ATA是Microsoft Advanced Threat Analytics(微软高级威胁分析系统)的缩写,这是微软面向企业销售的一款内部网络流量分析系统,旨在保护内部网络的安全。
警报显示,攻击者控制的帐户复制了Avast的活动目录,这是一种负责管理网络环境的集中式目录管理服务。
AVAST让黑客在内网自由活动,以便确定意图
Baloo说,Avast公司在发现入侵者后,并没有第一时间封禁帐户,而是故意让其随意活动,观察他们的行为。
这种情况一直持续到10月15日,随后Avast公司对以前发布的CCleaner
版本进行了安全审核,并推出了最新版本。
同时,Avast还更改了用于对CCleaner
更新进行签名的数字证书,撤销了以前用于签署旧版本CCleaner
的证书。这样做是为了防止攻击者使用旧证书来伪造官方软件。
最后一步则是重置所有员工的VPN登录凭证。
Baloo表示:“在采取了以上所有安全措施后,我们有信心表示CCleaner
用户是安全的。”
该杀毒软件制造商表示,目前正在与捷克情报机构、当地捷克警察的网络安全部门以及一个外部取证团队一起调查该事件。
Avast还表示,目前没有证据表明此次攻击和2017年发生的入侵是由同一个黑客组织进行的。不过该公司还是指出,这次入侵是由一位经验丰富的攻击者实施的。
“从我们目前收集到的信息来看,这是一起非常复杂的攻击事件,攻击者非常谨慎,避免留下任何痕迹。”
目前调查仍在进行中,该公司承诺会在后续及时通报调查进度。
2017年CCleaner黑客事件发生在Avast收购CCleaner背后的公司Piriform
之前。黑客通过TeamViewer
入侵了Piriform
的网络,并往CCleaner
中植入了后门。据称,只有在CCleaner
被安装到某些大公司的网络中时,才会进行第二阶段的攻击。目标包括思科、微软、谷歌、NEC等。Avast表示,2017年有227万用户下载了存在后门的CCleaner
软件;1646536台计算机受到了第一阶段的攻击——扫描目标信息;但只有40台电脑遭受了第二阶段的攻击——安装一个强大的后门。
Avast对ZDNet表示,虽然CCleaner
屡次成为攻击者目标,但该公司没有计划停止开发CCleaner
。