21.10.2019 | 16:43

Adam Haertle

Avast zhakowany, ale wykrył atak i usunął intruza

Dać się zhakować nie jest trudno. Dużo trudniej jest to wykryć, zanim dojdzie do poważnych szkód. Jeszcze trudniej jest przyznać się do tego, co się stało, dlatego jawność Avasta godna jest podziwu.

Avastowi, który właśnie ogłosił, że został dość porządnie zhakowany, należy się sporo szacunku za otwarte komunikowanie tego, co mu się przydarzyło. Mało jest firm, które nie boją się opowiadać o swoich wpadkach. Dzięki takim odważnym podmiotom skorzystać możemy wszyscy, analizując prawdziwe ataki i metody ich wykrycia. Co prawda, informacje ujawnione do tej pory przez Avasta są dość skąpe, ale korzystajmy z tego, co już wiemy.

Od VPN-a do administratora domeny

Jak informuje w swoim wpisie Avast, 23 września odkrył podejrzaną aktywność w swojej sieci. Intensywne śledztwo i wdrożenie ATA (Advanced Threat Analysis) Microsoftu pozwoliło na zidentyfikowanie nietypowego wydarzenia, do którego doszło 1 października. Tego dnia ktoś dokonał replikacji usługi katalogowej (zapewne AD) z zakresu IP należącego do wewnętrznej usługi VPN. Początkowo uznano ten alert za błąd systemu oceniającego charakter wydarzenia, jednak dalsze śledztwo wykazało, że replikacji dokonał użytkownik, który nie miał potrzebnych uprawnień.

Ktokolwiek stał za atakiem, nie tylko poznał dane uwierzytelniające jednego z użytkowników, ale także udało mu się podnieść uprawnienia do poziomu administratora domeny, co wskazuje na powagę ataku. Połączenia do sieci Avasta następowały z różnych adresów IP, w tym z Wielkiej Brytanii. Prześledzenie historii połączeń pokazało, że próby nieautoryzowanego dostępu sięgały 14 maja.

Sukcesu atakujących należy upatrywać w błędzie popełnionym przez administratorów Avasta. Atakujący wykorzystał tymczasowy profil VPN, który powinien był być skasowany, ponieważ nie wymagał dwuskładnikowego uwierzytelnienia. ATA odnotował kilka logowań: 14 i 15 maja, 24 lipca, 11 września oraz 4 października. Przestępcy używali różnych zestawów danych uwierzytelniających.

Celem CCleaner?

Avast wskazuje, że jego zdaniem celem włamywaczy były pliki instalatora CCleanera, którego Avast kupił jakiś czas temu. CCleaner był już w roku 2017 celem zaawansowanego ataku, o którym napisaliśmy niejeden artykuł. Avast wstrzymał na czas śledztwa prace nad wydaniem nowej wersji programu. Po dwóch tygodniach obserwowania włamywaczy postanowił unieważnić poprzednie klucze podpisujące pliki CCleanera. Przegląd kodu wydanych wersji nie wykrył żadnych anomalii. Avast usunął także tymczasowy profil VPN oraz zresetował wszystkie hasła używane w organizacji. Trwa dalsza analiza ataku.

Podsumowanie

Nie ma żadnego dowodu, by wydane wersje Avasta lub CCleanera były zainfekowane. Avastowi należą się gratulacje za ujawnienie incydentu (chociaż jego opis zawiera wiele luk, które – mamy nadzieję – Avast kiedyś uzupełni). Ataki na producentów AV nie są niczym nowym – w 2015 ofiarą włamywaczy (prawdopodobnie izraelskiego wywiadu) padł też Kaspersky. Z kolei w 2014 wykradziono dane użytkowników forum Avasta, a w 2013 ofiarą spektakularnego ataku padła firma Bit9. W 2012 do włamań doszło w firmach Panda oraz Sophos, wcześniej wykradziono także kod Symanteca. Niestety żyjemy w czasach, w których bycie na celowniku obcego wywiadu oznacza nierówną walkę ze świetnie wyposażonym przeciwnikiem.

Powrót

Komentarze

  • 2019.10.21 17:14 Wujek Pawel

    Baza wirusow, zostala zaktualizowana.

    Odpowiedz
  • 2019.10.21 19:58 Duży Pies

    „Niestety żyjemy w czasach, w których bycie na celowniku obcego wywiadu oznacza nierówną walkę ze świetnie wyposażonym przeciwnikiem.”
    .
    Dlaczego „niestety”?
    Co złego jest w inwigilowaniu/hackowaniu przez służby firm mających powiązania z rosyjskimi służbami. A nawet jakby Kaspersky nie miał powiązań z GRU, to i tak należy go porządnie prześwietlić. Brawa należą się Izraelczykom! Czekam kiedy w Polsce będzie ofensywna cyberjednostka wojskowa lub należąca do inwigilujących służb.

    Odpowiedz
    • 2019.10.21 21:54 Profesor

      Niestety, bo żadna władza nie powinna mieć zbyt dużych uprawnień i możliwości ponieważ może ulec degeneracji i zacząć działać przeciw obywatelom. Pokusa jest zbyt duża.

      Odpowiedz
      • 2019.10.22 10:12 Andrzej

        Gdyby ludzie byli uczciwi i dotrzymywali obietnic to i owszem, byłoby fajnie, ale raport z likwidacji WSI rozwiewa wszelkie wątpliwości czym się kończy nazywanie bandytki wywiadem.

        Odpowiedz
      • 2019.10.22 23:25 Duży Pies

        Pełna zgoda, że każda władza jest demoralizująca.
        Ale prawdą jest też że ludzie z natury nie są mądrzy i jak da się im dużo wolności, to zaczną robić głupie rzeczy. Wiem coś o tym, bo mam kontakt zawodowy z przestępcami. Dlatego należy ich obserwować, także dla ich własnego dobra. Może jak do tego dojrzejesz, to mnie zrozumiesz.

        Odpowiedz
    • 2019.10.21 22:06 John Sharkrat

      Level od ignorance – Master.

      Odpowiedz
    • 2019.10.22 13:01 sds

      To złego, że włamując się do takich firm dostają dostęp do korespondencji i metadanych należących do osób trzecich – klientów tych firm. Zaś w wolnym kraju tajemnica komunikowania się powinna być pod realną ochroną, a jej naruszenie powinno być rzadkim wyjątkiem i tylko na mocy postanowienia niezawisłego sądu.

      Ale nie znam takiego kraju na tym świecie, może poza Szwajcarią.

      Odpowiedz
  • 2019.10.22 13:15 gl

    pracuję w serwisie komp., pierwsze co robię jak dostanę zasyfiony/zawirusowany komputer to wywalam avasta/avg, nie ma gorszego programu, nawet nie antywirusowego, programu w ogóle

    Odpowiedz
    • 2019.10.23 11:44 zakius

      solidnym konkurentem dla avasta jest all player

      Odpowiedz
      • 2019.11.22 16:02 czopek

        Koleżko …
        miłego weekendu.

        naprawde dobrze to ująłeś, nieujmując avastowi oczywiście.

        Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Avast zhakowany, ale wykrył atak i usunął intruza

Komentarze