Comparte en:

Hackers accedieron a la red interna de la empresa checa de ciberseguridad Avast, probablemente con el objetivo de un ataque a la cadena de suministro dirigido a CCleaner. Dicho ataque fue detectado el 25 de septiembre, los intentos de intrusión comenzaron desde el 14 de mayo.

Después de una investigación, el fabricante de antivirus determinó que el atacante podía obtener acceso utilizando credenciales comprometidas a través de una cuenta de VPN temporal.

De extremo sigilo a mayores privilegios

Según la información recopilada hasta el momento, el ataque parece ser “un intento extremadamente sofisticado”, afirma Jaya Baloo, Director de Seguridad de Información de Avast (CISO).

Avast se refiere a este ataque con el nombre de ‘Abiss’ y dice que el actor de la amenaza detrás de él ejerció una extrema precaución, para evitar ser detectado y ocultar los rastros de su intención.

Los registros de la actividad sospechosa muestran entradas el 14 y 15 de mayo, el 24 de julio, el 11 de septiembre y el 4 de octubre.

El intruso se conectó desde una dirección IP pública en el Reino Unido y aprovechó un perfil VPN temporal que ya no debería haber estado activo y no estaba protegido con autenticación de dos factores (2FA).

En una declaración, Jaya Baloo dice que la compañía recibió una alerta por “una replicación maliciosa de los servicios de directorio desde una IP interna que pertenecía a nuestro rango de direcciones VPN”; Sin embargo, esto había sido descartado como falso positivo.

Sin embargo, resultó que el usuario cuyas credenciales se habían visto comprometidas no tenía los permisos de un administrador de dominio, lo que indica que el atacante logró la escalada de privilegios.

Los registros mostraron además que el perfil temporal había sido utilizado por múltiples conjuntos de credenciales de usuario, lo que nos hace creer que estaban sujetos a robo de credenciales.

Actualizaciones de CCleaner examinadas para su lanzamiento

Sospechando de CCleaner como el activo objetivo, Avast el 25 de septiembre detuvo las próximas actualizaciones para el software y comenzó a verificar versiones anteriores para detectar modificaciones maliciosas.

Para garantizar que sus usuarios no corran ningún riesgo, la empresa volvió a firmar un lanzamiento oficial de CCleaner y lo envió como una actualización automática el 15 de octubre.

Esa versión actualizó a los usuarios que todavía tienen las versiones 5.57 a 5.62 del producto, para que puedan beneficiarse de “su seguridad mejorada y su rendimiento mejorado”.

Además, el antiguo certificado fue revocado, dice hoy en una declaración Jaya Baloo, directora de seguridad de la información de Avast (CISO).

“Estaba claro que tan pronto como lanzáramos la nueva versión firmada de CCleaner, estaríamos señalando a los actores maliciosos, por lo que, en ese momento, cerramos el perfil de VPN temporal. Al mismo tiempo, desactivamos y restablecimos todas las credenciales de usuarios internos. Simultáneamente, con efecto inmediato, hemos implementado un escrutinio adicional para todas las versiones”. Afirma Jaya Baloo.

Ataque similar en el pasado

No está claro si este es el mismo atacante responsable del ataque a la cadena de suministro de CCleaner divulgado en 2017. Hay pocas posibilidades de descubrir una conexión entre estos dos incidentes.

La compañía rastreó al intruso manteniendo activo el perfil de VPN y monitoreando el acceso hasta que se puedan implementar acciones de mitigación.

La policía ha sido notificada de la intrusión y un equipo forense externo ayudó a los esfuerzos de Avast para verificar los datos recopilados.

Avast continuará revisando y monitoreando sus redes para una mejor detección y una respuesta más rápida en el futuro.

La investigación en las acciones de ataque también continuará, para obtener inteligencia sobre cómo funcionan. Algunos detalles, como las direcciones IP utilizadas para la intrusión, se han compartido con la policía y la comunidad de ciberseguridad. La información está marcada como TLP: RED, lo que significa que no se puede compartir.

Actualización de información

Cuando salió CCleaner 5.63 el 15 de octubre, se buscó obtener declaraciones de Avast sobre el motivo y los beneficios de la actualización, ya que fue un movimiento inesperado. La compañía demoró en responder a las preguntas en ese momento.

El gerente general de CCleaner, David Peterson, explica en una publicación en su sitio que la razón para actualizar automáticamente todas las instalaciones de CCleaner desde 5.57 a la última versión actual fue una medida preventiva para garantizar que todos los usuarios ejecuten una versión genuina.

“Dimos estos pasos preventivamente a medida que nuestra investigación continúa, pero queríamos eliminar el riesgo de que se entregue software fraudulento a nuestros usuarios. Dado que tenemos indicios de que los intentos de infiltrarse en nuestros sistemas comenzaron en mayo de este año, actualizamos automáticamente a los usuarios en versiones lanzadas después de este tiempo para garantizar su seguridad”.




0 Comments

Deja un comentario