Los que están detrás del ataque lograron obtener acceso al comprometer las credenciales de la red privada virtual de un empleado que no estaban protegidas mediante la autenticación de dos factores. Después de obtener acceso, el hacker logró obtener privilegios de administrador de dominio e intentó insertar malware en la red de Avast.

El ataque se detectó por primera vez el 23 de septiembre, en donde el hacker obtuvo privilegios de administrador de dominio y activó una alerta interna del sistema, aunque Avast señaló que el hacker había estado intentando acceder desde el 14 de mayo y que este fue rastreado desde una remonta dirección IP pública en el Reino Unido.

Sin embargo, a través de una escalada de privilegios exitosa, el hacker logró obtener privilegios de administrador de dominio. La conexión se realizó desde una IP pública alojada fuera del Reino Unido y determinaron que el atacante también usó otros puntos finales a través del mismo proveedor de VPN.

Avast informo que el hacker estaba apuntando sus ataques específicamente hacia la herramienta “CCleaner” con malware que permitía a los que estaban detrás espiar a los usuarios.

Este ataque tenía el propósito de vulnerar a CCleaner de una manera similar al caso donde fue hackeado anteriormente  en 2017  en lo que se cree que fue un ataque patrocinado por el estado dirigido a compañías tecnológicas.

La evidencia que reunimos apuntaba a la actividad en MS ATA / VPN el 1 de octubre, cuando volvimos a revisar una alerta de MS ATA de una replicación maliciosa de servicios de directorio desde una IP interna que pertenecía a nuestro rango de direcciones VPN, que originalmente se había descartado como Un falso positivo.

En un giro sorprendente, habiendo detectado al hacker en su red, Avast permitió que el hacker intentara proceder durante semanas, mientras tanto, bloqueaban todo aquellos objetivos potenciales y aprovechaban para estudiar al hacker como para tratar de localizar a la persona o grupo detrás del pirateo.

El software hackeado es normal, pero el juego de Avast de gato y ratón con el hacker fue inusual. Avast dejó de emitir actualizaciones para CCleaner el 25 de septiembre para asegurarse de que ninguna de sus actualizaciones se viera comprometida al verificar que las versiones anteriores también estuvieran comprometidas.

Paralelamente a nuestro monitoreo e investigación, planificamos y llevamos a cabo medidas proactivas para proteger a nuestros usuarios finales y garantizar la integridad tanto de nuestro entorno de creación de productos como de nuestro proceso de lanzamiento.

Aunque creíamos que CCleaner era el objetivo probable de un ataque a la cadena de suministro, como fue el caso en una violación de CCleaner en 2017, lanzamos una red más amplia en nuestras acciones de remediación.

Desde esa fecha hasta el 15 de octubre Avast, aprovecho para realizar sus investigaciones. Posteriormente comenzó a enviar actualizaciones (apartir del 15 de octubre) de CCleaner con un certificado de seguridad firmado nuevamente, seguro de que su software estaba a salvo.

“Estaba claro que tan pronto como lanzáramos la nueva versión firmada de CCleaner, estaríamos señalando a los actores maliciosos, por lo que en ese momento, cerramos el perfil de VPN temporal”, dijo Jaya Baloo, directora de seguridad de información de Avast Una publicación de blog . “Al mismo tiempo, deshabilitamos y restablecemos todas las credenciales de usuario internas. Simultáneamente, con efecto inmediato, hemos implementado un escrutinio adicional para todas las versiones “.

Además, dijo, la compañía continuó fortaleciendo y protegiendo aún más sus entornos para las operaciones comerciales y la creación de productos de Avast. Una empresa de ciberseguridad que está siendo pirateada nunca es una buena imagen, pero a su transparencia se le considera buena.

Fuente: desdelinux.net

Compartir