Ciberdelincuentes vulneraron la red del antivirus Avast
Hackers accedieron a la red interna de la empresa checa de ciberseguridad Avast, probablemente con el objetivo de un ataque a la cadena de suministro dirigido a CCleaner. Dicho ataque fue detectado el 25 de septiembre, los intentos de intrusi贸n comenzaron desde el 14 de mayo.
Despu茅s de una investigaci贸n, el fabricante de antivirus determin贸 que el atacante pod铆a obtener acceso utilizando credenciales comprometidas a trav茅s de una cuenta de VPN temporal.
De extremo sigilo a mayores privilegios
Seg煤n la informaci贸n recopilada hasta el momento, el ataque parece ser “un intento extremadamente sofisticado”, afirma Jaya Baloo, Director de Seguridad de Informaci贸n de Avast (CISO).
Avast se refiere a este ataque con el nombre de ‘Abiss’ y dice que el actor de la amenaza detr谩s de 茅l ejerci贸 una extrema precauci贸n, para evitar ser detectado y ocultar los rastros de su intenci贸n.
Los registros de la actividad sospechosa muestran entradas el 14 y 15 de mayo, el 24 de julio, el 11 de septiembre y el 4 de octubre.
El intruso se conect贸 desde una direcci贸n IP p煤blica en el Reino Unido y aprovech贸 un perfil VPN temporal que ya no deber铆a haber estado activo y no estaba protegido con autenticaci贸n de dos factores (2FA).
En una聽declaraci贸n, Jaya Baloo dice que la compa帽铆a recibi贸 una alerta por “una replicaci贸n maliciosa de los servicios de directorio desde una IP interna que pertenec铆a a nuestro rango de direcciones VPN”;聽Sin embargo, esto hab铆a sido descartado como falso positivo.
Sin embargo, result贸 que el usuario cuyas credenciales se hab铆an visto comprometidas no ten铆a los permisos de un administrador de dominio, lo que indica que el atacante logr贸 la escalada de privilegios.
Los registros mostraron adem谩s que el perfil temporal hab铆a sido utilizado por m煤ltiples conjuntos de credenciales de usuario, lo que nos hace creer que estaban sujetos a robo de credenciales.
Actualizaciones de CCleaner examinadas para su lanzamiento
Sospechando de CCleaner como el activo objetivo, Avast el 25 de septiembre detuvo las pr贸ximas actualizaciones para el software y comenz贸 a verificar versiones anteriores para detectar modificaciones maliciosas.
Para garantizar que sus usuarios no corran ning煤n riesgo, la empresa volvi贸 a firmar un lanzamiento oficial de CCleaner y lo envi贸 como una聽actualizaci贸n聽autom谩tica聽el 15 de octubre.
Esa versi贸n actualiz贸 a los usuarios que todav铆a tienen las versiones 5.57 a 5.62 del producto, para que puedan beneficiarse de “su seguridad mejorada y su rendimiento mejorado”.
Adem谩s, el antiguo certificado fue revocado, dice hoy en una declaraci贸n Jaya Baloo, directora de seguridad de la informaci贸n de Avast (CISO).
“Estaba claro que tan pronto como lanz谩ramos la nueva versi贸n firmada de CCleaner, estar铆amos se帽alando a los actores maliciosos, por lo que, en ese momento, cerramos el perfil de VPN temporal. Al mismo tiempo, desactivamos y restablecimos todas las credenciales de usuarios internos. Simult谩neamente, con efecto inmediato, hemos implementado un escrutinio adicional para todas las versiones”.聽Afirma Jaya Baloo.
Ataque similar en el pasado
No est谩 claro si este es el mismo atacante responsable del聽ataque a la cadena de suministro de CCleaner divulgado en 2017.聽Hay pocas posibilidades de descubrir una conexi贸n entre estos dos incidentes.
La compa帽铆a rastre贸 al intruso manteniendo activo el perfil de VPN y monitoreando el acceso hasta que se puedan implementar acciones de mitigaci贸n.
La polic铆a ha sido notificada de la intrusi贸n y un equipo forense externo ayud贸 a los esfuerzos de Avast para verificar los datos recopilados.
Avast continuar谩 revisando y monitoreando sus redes para una mejor detecci贸n y una respuesta m谩s r谩pida en el futuro.
La investigaci贸n en las acciones de ataque tambi茅n continuar谩, para obtener inteligencia sobre c贸mo funcionan.聽Algunos detalles, como las direcciones IP utilizadas para la intrusi贸n, se han compartido con la polic铆a y la comunidad de ciberseguridad.聽La informaci贸n est谩 marcada como TLP: RED, lo que significa que no se puede compartir.
Actualizaci贸n de informaci贸n
Cuando sali贸 CCleaner 5.63 el 15 de octubre, se busc贸 obtener declaraciones de Avast sobre el motivo y los beneficios de la actualizaci贸n, ya que fue un movimiento inesperado.聽La compa帽铆a demor贸 en responder a las preguntas en ese momento.
El gerente general de CCleaner, David Peterson, explica en una聽publicaci贸n en su sitio que la raz贸n para actualizar autom谩ticamente todas las instalaciones de CCleaner desde 5.57 a la 煤ltima versi贸n actual fue una medida preventiva para garantizar que todos los usuarios ejecuten una versi贸n genuina.
“Dimos estos pasos preventivamente a medida que nuestra investigaci贸n contin煤a, pero quer铆amos eliminar el riesgo de que se entregue software fraudulento a nuestros usuarios. Dado que tenemos indicios de que los intentos de infiltrarse en nuestros sistemas comenzaron en mayo de este a帽o, actualizamos autom谩ticamente a los usuarios en versiones lanzadas despu茅s de este tiempo para garantizar su seguridad”.