Чеський виробник програмного забезпечення для кібербезпеки Avast сьогодні повідомив про спробу хакерської атаки, яка була націлена на його внутрішню мережу. У заяві, опублікованій сьогодні, компанія заявила, що вважає, що метою атаки було вставити зловмисне програмне забезпечення в програмне забезпечення CCleaner – щось подібне до сумнозвісного інциденту з CCleaner у 2017 році.
Avast заявив, що порушення сталося через те, що зловмисник скомпрометував дані VPN працівника, отримавши доступ до облікового запису, який не був захищений, використовуючи рішення для багатофакторної автентифікації, пише ZDNet
Вторгнення було виявлено 23 вересня, але Avast заявив, що знайшов докази того, що зловмисник розгорнув інфраструктуру для вторгнення, як мінімум, ще з 14 травня цього року.
“Користувач, чиї облікові дані були очевидно компрометовані та пов’язані з IP-адресою, не мав привілеїв адміністратора домену. Однак, завдяки вдалій ескалації привілеїв, зловмисникам вдалося отримати привілеї адміністратора домену”, – заявив Джая Балу, головний директор з питань інформаційної безпеки Avast ( CISO).
Балу заявив, що Avast навмисно залишає скомпрометований профіль VPN активним, з метою відстеження нападників та спостереження за їхніми діями. Це тривало до 15 жовтня, коли компанія закінчила аудит попередніх релізів CCleaner і випустила нове “чисте” оновлення. Одночасно Avast також змінила цифровий сертифікат, який використовував для підписання оновлень CCleaner. Нове оновлення було підписано новим цифровим сертифікатом, і компанія відкликала попередній сертифікат, який використовувався для підписання старих релізів CCleaner. Це зробили, щоб зловмисники не використовували для підписання підроблених оновлень CCleaner, якщо хакерам вдалося отримати старий сертифікат під час недавнього зламу мережі.
“Вживши всіх цих заходів обережності, ми впевнено стверджуємо, що наші користувачі CCleaner захищені і хакери не впливають на них”, – сказав Балу.
Виробник антивірусу заявив, що наразі розслідує інцидент разом із чеським розвідувальним агентством, Службою інформаційної безпеки (BIS), місцевим відділом чеської поліції з кібербезпеки та зовнішньою командою криміналістів.
Avast заявив, що поки не має доказів того, що ця атака була викликана тією ж групою, яка зламала його внутрішню мережу у 2017 році; проте компанія зазначила, що вторгнення здійснив досвідчений зловмисник або група зловмисників.
“З тих даних, які ми зібрали на сьогодні, видно, що це була надзвичайно складна спроба атаки проти нас, яка мала намір не залишати жодних слідів зловмисника чи натяків на об’єкти атаки, і що він просувався з винятковою обережністю, щоб не бути виявленим, – сказав Балу.
Розслідування триває, і компанія пообіцяла більше інформації.
Злом CCleaner у 2017 відбувся ще до того, як Avast придбала Piriform, компанію-виробника CCleaner. Хакери зламали мережу Piriform через обліковий запис TeamViewer і інсталювали зловмисне програмне забезпечення в оновлення та дистрибутиви CCleaner. Зловмисники, (як вважали, це група китайських хакерів), вставили зловмисне програмне забезпечення, яке завантажувало б лише “корисне навантаження” другого ступеня, коли CCleaner був встановлений у мережі великої компанії. У список цілей увійшли Cisco, Microsoft, Google, NEC та багато інших великих компаній. Avast заявив, що 2,27 мільйона користувачів завантажили заражену програму CCleaner тільки у 2017 році. З них 1,646,536 комп’ютерів,були заражені трояном Floxif першого ступеня, який сканував наявність високоцінніх цілей. Але лише 40 комп’ютерів потім отримали трояни другого ступеня – потужні бекдори.
Нагадаємо, ботнет 10-річної давнини Phorpiex знов активізувався. На цей раз ботнет, який в даний час контролює понад 450 000 комп’ютерів у всьому світі, нещодавно змінив тактику з зараження комп’ютерів програмами-вимагачами або майнерами криптовалют, на їх використання для розсилки електронних листів з вимогами шантажу мільйонам невинних людей.
Також кіберзлочинці, які займаються зламом корпоративних мереж, спочатку зламують мережі великих компаній, а потім здають в оренду або продають доступ до них іншим злочинним угрупуванням. Вони пропонують свої послуги у Даркнеті та через захищені месенджери, а згодом співпрацюють з операторами програм-шифрувальників.
Зверніть увагу, що фальшиву версію браузера Tor, який кіберзлочинці використовують для викрадення криптовалюти Bitcoin у покупців Даркнет-ринків та шпигування за користувачами, виявили фахівці з кібербезпеки компанії ESET. Загальна сума отриманих коштів на всі три гаманці становила 4.8 Bitcoin, що відповідає приблизно 40 тисячам доларам США.
Окрім цього, голосових помічників можуть використовувати зловмисники, щоб підслуховувати розмови або обманом дізнаватися у користувачів конфіденційну інформацію. Дослідники розповіли про ряд проблем в Alexa і Google Home, які розробники Google не можуть усунути вже кілька місяців. Загрозу становлять шкідливі програми, розроблені третіми особами.
Згідно похмурого, але не занадто надуманого сценарію, хакер може атакувати антену 5G, відправивши шкідливі сигнали мільйонам підключених до неї пристроїв. Це призведе до колапсу в роботі транспортної системи та енергосистеми і паралізує міста. Коли уряди все більшої кількості країн розмірковують про ризики роботи із закордонними постачальниками мереж 5G, всі погляди прикуті до Швейцарії, яка однією з перших прийняла на озброєння цю технологію.