CCleaner снова пытались взломать

Компания Avast сообщила об очередной атаке на свою внутреннюю сеть. По словам Джаи Балу, директора по информационной безопасности Avast, неизвестные злоумышленники сумели скомпрометировать не защищенный двухфакторной аутентификацией временный VPN-профиль одного из сотрудников компании и получить доступ во внутреннюю сеть. Далее, используя атаку с повышением уровня привилегий, они смогли получить права администратора домена, хотя сам сотрудник, чей профиль оказался скомпрометирован, их не имел.

На этом этапе вредоносная активность была обнаружена. Специалисты Avast уведомили об инциденте правоохранительные органы Чехии и решили продолжить наблюдение за действиями злоумышленников, чтобы попытаться выяснить их цели и способ действий. Было, в частности, установлено, что атакующие пытались проникнуть в сеть Avast начиная с 14 мая. Для входа использовался британский IP-адрес. Целью вторжения, судя по всему, вновь была попытка инфицирования вредоносным ПО программы CCLeaner – одного из популярнейших продуктов Avast. Стоит напомнить, что около двух лет назад хакерам уже удалось внедрить вредоносный код в очередную версию CCLeaner. По некоторым оценкам, это привело к инфицированию более чем 2 миллионов устройств.

На сей раз специалисты Avast смогли предотвратить неприятности. Компания оперативно провела полный аудит всех версий CCLeaner и 15 октября выпустила новую версию программы, подписав ее новым цифровым сертификатом и одновременно отозвав предыдущий. Таким образом попытка появления вредоносных версий была полностью исключена. Как отметила Джая Балу, обнаруженная атака отличалась «чрезвычайной сложностью и изощренностью». Балу также добавила, что не может с точностью сказать - стояли ли за инцидентом те же злоумышленники, которые атаковали Avast два года назад, или же это дело рук другой хакерской группировки.

Источник: The Register