Avast зазнав атаки хакерів

Фахівці Avast помітили підозрілі дії в корпоративній мережі та розпочали негайне розслідування. Співробітники компанії об'єдналися з чеським розвідувальним агентством, Службою інформаційної безпеки (BIS), місцевим підрозділом кібербезпеки поліції Чехії та зовнішньою групою експертів з

Аналізуючи зовнішні IP-адреси, експерти виявили, що зловмисник намагався отримати доступ до мережі через VPN ще 14 травня цього року.

Виявилося, що доступ до внутрішньої мережі був здійснений з використанням скомпрометованих облікових даних через тимчасовий профіль VPN, який був помилково залишений увімкненим і не вимагав двофакторної аутентифікації.

4 жовтня експерти знову спостерігали цю активність. Тимчасові мітки підозрілої активності, позначеної MS ATA, (часовий пояс GMT +2): 2:00 - 14 травня 2019; 4:36 – 15 травня 2019 р.; 23:06 – 15 травня 2019 р.; 3:35 – 24 липня 2019 р.; 3:45 – 24 липня 2019 р.; 15:20 -11 вересня 2019 р.; 11:57 — 4 жовтня 2019 р.

Фахівці припустили, що ймовірною метою атаки був CCleaner, як це сталося у 2017 р.

25 вересня співробітники Avast зупинили роботу CCleaner та почали перевіряти попередні версії CCleaner. Вони переконалися, що жодних шкідливих змін не було.

В якості двох подальших превентивних заходів експерти, по-перше, створили оновлення продукту та відправили користувачам автоматичне оновлення 15 жовтня, а по-друге, відкликали попередній сертифікат.

Зі зібраної інформації стає ясно, що це була надзвичайно витончена спроба злому. Хакери зробили все можливе, щоб не залишити жодної інформації про себе та свої цілі. Неможливо визначити, чи це були ті самі люди, що раніше, тому цю спробу назвали Abiss.

Фахівці Avast продовжують проводити докладний моніторинг у мережах та системах, щоб максимально скоротити час виявлення загрози та реакції на неї. Крім того, дослідники разом із сторонніми експертами планують додатково вивчати журнали, щоб виявити, коли та як виявляли себе хакери. Вже відомі IP-адреси зловмисників. Розслідування триває.

Інші новини