Netværk hos Avast kompromitteret: Midlertidig VPN havde ingen 2FA

It-sikkerhedsvirksomheden Avast har haft ubudne gæster på netværket.

Den tjekkiske anti-virus producent Avast har opdaget, at virksomhedens netværk har været kompromitteret. Måske siden maj. I den forbindelse tyder noget på, at angriberen har fået fat i loginoplysninger for flere brugerkonti internt hos Avast.

Det fremgår af en meddelelse på virksomhedens hjemmeside, som Jaya Baloo står som afsender af. Hun er Chief Information Security Officer hos Avast.

Den 23. september opdagede Avast, hvad virksomheden kalder »mistænkelig« aktivitet på netværket.

Under opklaringsarbejdet har Avast blandt andet samarbejdet med en tjekkisk efterretningstjeneste og cyberenheden hos det tjekkiske politi, oplyser virksomheden.

Her stødte virksomheden på en advarsel fra MS ATA. Det fremgår ikke klart af meddelelsen fra Avast, hvad MS ATA er.

Ifølge mediet Forbes er der tale om et sikkerhedsværktøj fra Microsoft. Det kunne i så fald være Microsofts Advanced Threat Analytics, der gemmer sig bag forkortelsen.

»The evidence we gathered pointed to activity on MS ATA/VPN on October 1, when we re-reviewed an MS ATA alert of a malicious replication of directory services from an internal IP that belonged to our VPN address range, which had originally been dismissed as a false positive« oplyser Avast.

I første omgang var advarslerne fra MS ATA altså blevet regnet som falske positiver.

Ved nærmere eftersyn fandt Avast ud af, at en brugers login-oplysninger tilsyneladende var blevet kompromitteret.

Den pågældende brugeren havde i udgangspunktet ikke domain admin-rettigheder, men via et rettigheds-eskaleringsangreb er det alligevel lykkedes for angriberen at opnå disse rettigheder.

Ifølge Center for Cybersikkerhed bruges 'domain admin' om en bruger på et Windows-netværk, der kan administrere alle rettigheder på netværket.

14. maj

Under det videre analysearbejde af eksterne ip-adresser opdagede Avast, at aktøren så langt tilbage som 14. maj i år har forsøgt at få adgang til netværket via virksomhedens VPN.

Avast har desuden fundet ud af, at virksomhedens interne netværk er blevet tilgået med kompromitterede login-oplysninger via en midlertidig VPN-forbindelse, som ved en fejl ikke var blevet taget ned.

Forbindelsen krævede i øvrigt ikke 2-faktor-login. Den kunne med andre ord tilgås alene via brugernavn og adgangskode.

Se boksen i denne artikel for tidspunkterne over mistænkelig aktivitet på Avasts netværk, som virksomheden har offentliggjort.

Et nærmere kig i logfilerne har vist, at den midlertidige VPN-forbindelse er blevet anvendt med flere forskellige brugerlogin. Det får Avast til at tro, at aktøren har stjålet login-oplysningerne for disse brugere. Hvordan dette skulle være foregået fremgår ikke umiddelbart nærmere af meddelelsen fra Avast.

Lod VPN stå åben

I et forsøg på at spore angriberen, så lod Avast VPN-forbindelsen forblive åben, fremgår det af meddelelsen fra virksomheden.

Sideløbende foretog Avast forskellige »proaktive tiltag,« som virksomheden formulerer det.

Blandt andet er integriteten af virksomhedens build-miljø blev gået efter i sømmene.

I den forbindelse har Avast gennemgået værktøjet CCleaner, som virksomheden mener var mål for angrebet.

Netop dette værktøj har tidligere været kompromitteret af en ondsindet aktør i forbindelse med et såkaldt supply-chain-angreb. I 2017 kom de således frem, at en inficeret udgave af programmet var hentet af over to millioner brugere. Som navnet supply-chain måske antyder, er det en type cyberangreb, hvor en aktør forsøger at ramme et mål ved at kompromittere målets leverandør.

I forhold til 2017-angrebet, så vurderede Ciscos Talos efterfølgende, at teknologi-virksomheder havde været det egentlige mål for angrebet.

Bremsede CCleaner

Hvad det aktuelle angreb angår, så bremsede Avast kommende udgivelser af CCleaner 25. september i år. Herefter blev tidligere versioner af programmet blev undersøgt. Ifølge Avast blev der her ikke fundet kompromitterede udgaver af programmet.

Derudover blev en 'ren' udgave af produktet digitalt signeret påny, hvorefter denne version blev skubbet ud til brugere 15. oktober. Desuden har Avast tilbagekaldt det certifikat, der tidligere har været brugt til signering af CCleaner.

Avast mener ikke, at nogen brugere af CCleaner er blevet kompromitterede som følge af angrebet.

»Having taken all these precautions, we are confident to say that our CCleaner users are protected and unaffected,« meddeler Avast.

Da Avast frigav den ny-signerede CCleaner blev den midlertidige VPN-forbindelse lukket ned. Som virksomheden bemærker, så ville frigivelsen af programmet med den nye signatur gøre angriberen opmærksom på, at kompromitteringen var opdaget.

Virksomheden kan også fortælle, at alle interne brugerlogins af blevet nulstillede.

Det lader ikke til, Avast har nogen idé om, hvem der står bag angrebet, som virksomheden beskriver som ekstremt sofistikeret.

»From the insights we have gathered so far, it is clear that this was an extremely sophisticated attempt against us that had the intention to leave no traces of the intruder or their purpose, and that the actor was progressing with exceptional caution in order to not be detected. We do not know if this was the same actor as before and it is likely we will never know for sure, so we have named this attempt 'Abiss'.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere