Aanvaller kreeg toegang tot netwerk antivirusbedrijf Avast

[Captain Kirk]

Een onbekende aanvaller is erin geslaagd toegang te krijgen tot het netwerk van antivirusbedrijf Avast, mogelijk in een poging om het programma CCleaner van malware te voorzien, zo heeft de virusbestrijder net bekendgemaakt. Op 23 september ontdekte Avast verdachte activiteit op het eigen netwerk.

Er volgde een onderzoek waarbij de Tsjechische inlichtingendienst en politie betrokken waren. Avast is een Tsjechisch bedrijf. Het onderzoek liet zien dat een actie van een gebruiker die in eerste instantie als false positive was afgedaan, door een aanvaller was uitgevoerd. De aanvaller had met de gegevens van deze gebruiker via een tijdelijk vpn-profiel ingelogd dat door Avast zelf was aangemaakt. Dit profiel vereiste geen tweefactorauthenticatie en stond onbedoeld nog ingeschakeld.

De gecompromitteerde gebruiker had geen domeinbeheerdersrechten. De aanvaller wist echter zijn rechten te verhogen, zodat wel domeinbeheerder werd. Verder onderzoek wees uit dat de aanvaller sinds 14 mei van dit jaar had geprobeerd om via het Avast-vpn toegang tot het netwerk van het antivirusbedrijf te krijgen. Ook werd duidelijk dat inloggegevens van meerdere gebruikers waren gecompromitteerd.

CCleaner

Avast vermoedt het programma CCleaner het doelwit van de aanvaller was. CCleaner is software om cookies, tijdelijke bestanden, surfgeschiedenis, logbestanden, applicatiedata en andere bestanden mee te verwijderen. De software werd in 2017 door Avast van het softwarebedrijf Pirisoft overgenomen. Kort voor de overname hadden aanvallers Pirisoft gecompromitteerd en een backdoor aan CCleaner toegevoegd. De besmette versie werd door miljoenen mensen gedownload. Via de backdoor werd bij een select aantal bedrijven aanvullende malware geïnstalleerd. Uiteindelijk ontvingen 40 computers deze aanvullende malware. Het ging om systemen van grote techbedrijven zoals Intel, Samsung, Sony, Asus, NEC en de Zuid-Koreaanse telecomaanbieder Chunghwa Telecom.

Na ontdekking van de nieuwe inbraak besloot Avast het uitbrengen van CCleaner-updates te staken en werden eerder uitgebrachte versies op malware gecontroleerd. De virusbestrijder stelt dat het geen kwaadaardige aanpassingen heeft ontdekt. Uit voorzorg werd besloten om een schone update voor CCleaner opnieuw te signeren en via een automatische update uit te brengen. Vervolgens werd het vorige certificaat ingetrokken. Gebruikers zijn dan ook beschermd en niet getroffen, aldus Avast.

De virusbestrijder stelt dat het om een zeer geraffineerde aanval gaat en dat de aanvaller geen sporen wilde achterlaten. Avast is nu bezig om de zichtbaarheid in de eigen netwerken en systemen te vergroten om detectie- en responstijden te verbeteren. Tevens zal het de logbestanden verder onderzoeken om de acties en werkwijze van de aanvaller te achterhalen. De virusbestrijder heeft meer details over de aanval, waaronder ip-adressen, naar eigen zeggen met de securitygemeenschap gedeeld.

Update

De Tsjechische inlichtingendienst BIS stelt in een verklaring dat de geanalyseerde data suggereert dat de aanval uit China afkomstig was en CCleaner als doelwit had.

 

 

bron: security.nl