Clicky

Avast atacado por hackers que querían comprometer CCleaner nuevamente

Avast atacado

El atacante intentó obtener acceso a la red de la empresa a través de su VPN

El fabricante checo de software de seguridad Avast ha sufrido otra intrusión maliciosa en sus redes, pero los atacantes no lograron lo que aparentemente querían: versiones maliciosas de la popular utilidad CCleaner.

¿Que pasó?

El descubrimiento de la intrusión comenzó con una alerta de seguridad que marcó una replicación maliciosa de los servicios de directorio provenientes de una IP interna que pertenecía al rango de direcciones VPN de la compañía.

"El usuario, cuyas credenciales aparentemente estaban comprometidas y asociadas con la IP, no tenía privilegios de administrador de dominio. Sin embargo, a través de una escalada de privilegios exitosa, el actor logró obtener privilegios de administrador de dominio", explicó el CISO de Avast, Jaya Baloo.

"Después de un análisis más detallado, descubrimos que se accedió con éxito a la red interna con credenciales comprometidas a través de un perfil VPN temporal que se había mantenido habilitado por error y no requería 2FA".

También descubrieron que el atacante:

• Intentó obtener acceso a la red de la empresa a través de su VPN desde el 14 de mayo, y repetidos intentos en los siguientes meses
• El perfil temporal de VPN había sido utilizado por múltiples conjuntos de credenciales de usuario, lo que les hizo creer que estaban sujetos al robo de credenciales.

Avast decidió no terminar el perfil temporal de VPN hasta que tuvieran la oportunidad de ver qué más logró comprometer el atacante.

"Aunque creíamos que CCleaner era el objetivo probable de un ataque a la cadena de suministro, como fue el caso de una violación de CCleaner en 2017, lanzamos una red más amplia en nuestras acciones de remediación", señaló Baloo.

"El 25 de septiembre, detuvimos las próximas versiones de CCleaner y comenzamos a verificar las versiones anteriores de CCleaner y verificamos que no se hubieran realizado modificaciones maliciosas. Como dos medidas preventivas adicionales, primero volvimos a firmar una actualización limpia del producto, la enviamos a los usuarios a través de una actualización automática el 15 de octubre y, en segundo lugar, revocamos el certificado anterior".

Una vez hecho esto, se cerró el perfil VPN temporal y deshabilitaron y restablecieron todas las credenciales de usuario internas e implementaron un escrutinio adicional en todas las versiones.

Baloo dijo que quizás nunca sepan si el actor de la amenaza era el mismo que antes.

Ataques anteriores

Avast adquirió Piriform, la compañía que desarrolla CCleaner, en julio de 2017.

En septiembre de 2017, Avast confirmó que algunas versiones de la utilidad extremadamente popular habían sido retrasadas y ofrecidas para su descarga en el sitio de Piriform a raíz de un compromiso exitoso de los servidores de Piriform. Unos 2,27 millones de usuarios descargaron las versiones backdoored.

Después de este incidente, Avast migró el entorno de construcción Piriform a la infraestructura de Avast y trasladó a todo el personal de Piriform al sistema de TI interno de Avast.

Poco después, se descubrió que los lanzamientos comprometidos de CCleaner eran una forma de acceder a las computadoras en una serie de grandes compañías tecnológicas como Intel, Microsoft, Linksys, Dlink, Google, Samsung y Cisco, telecomunicaciones como O2 y Vodafone, y Gauselmann, Un fabricante de máquinas de juego. Los atacantes aparentemente buscaban una valiosa propiedad intelectual.

Jesus_Caceres