zhema
New member
23 сентября нынешнего года была обнаружена атака, в ходе которой киберпреступники взломали внутреннюю сеть чешской компании Avast. Удалось это сделать скомпрометировав VPN-профиль ее сотрудника, который не был защищен с помощью многофакторной аутентификации. По мнению компании, целью атаки было внедрение вредоносного программного обеспечения в программу CCleaner. Напомним, что злоумышленники пытались получить доступ к сети VPN компании ещё 14 мая 2019 года.
Директор по информационной безопасности Avast Джая Балу (Jaya Baloo) сообщила: «У пользователя, чьи учётные данные были явно скомпрометированы и связаны с IP-адресом, не было привилегий администратора. Однако благодаря успешному повышению привилегий, преступникам удалось получить права администратора домена».
Avast специально оставила скомпрометированный VPN-профиль активным, чтобы следить за взломщиками и их действиями. Слежка продолжалось вплоть до 15 октября, когда компания завершила аудит предыдущих выпусков CCleaner и выпустила новое обновление. Одновременно с этим Avast изменила цифровой сертификат, который использовался для подписи обновлений CCleaner. Свежий выпуск был подписан новым цифровым сертификатом, а предыдущий, использовавшийся для подписи старых версий Ccleaner перестал действовать. Таким образом компания предотвратила попытки злоумышленников подписать поддельные обновления CCleaner.
Этот инцидент в данный момент расследуется компанией, однако пока нет никаких доказательств того, что это нападение было совершено теми же людьми, которые нарушили инфраструктуру компании два года назад. Напомним, что в сентябре 2017 года в популярной утилите для очистки системы CCleaner от компании Avast был обнаружен вредоносный код. Этот вредоносный код позволял злоумышленникам осуществлять бэкдор атаки и загружать пользователям дополнительное вредоносное программное обеспечение, например программы-вымогатели или кейлоггеры. Эксперты компании полагают, что тогда к атаке была причастна китайская кибергруппировка Axiom.
Директор по информационной безопасности Avast Джая Балу (Jaya Baloo) сообщила: «У пользователя, чьи учётные данные были явно скомпрометированы и связаны с IP-адресом, не было привилегий администратора. Однако благодаря успешному повышению привилегий, преступникам удалось получить права администратора домена».
Avast специально оставила скомпрометированный VPN-профиль активным, чтобы следить за взломщиками и их действиями. Слежка продолжалось вплоть до 15 октября, когда компания завершила аудит предыдущих выпусков CCleaner и выпустила новое обновление. Одновременно с этим Avast изменила цифровой сертификат, который использовался для подписи обновлений CCleaner. Свежий выпуск был подписан новым цифровым сертификатом, а предыдущий, использовавшийся для подписи старых версий Ccleaner перестал действовать. Таким образом компания предотвратила попытки злоумышленников подписать поддельные обновления CCleaner.
Этот инцидент в данный момент расследуется компанией, однако пока нет никаких доказательств того, что это нападение было совершено теми же людьми, которые нарушили инфраструктуру компании два года назад. Напомним, что в сентябре 2017 года в популярной утилите для очистки системы CCleaner от компании Avast был обнаружен вредоносный код. Этот вредоносный код позволял злоумышленникам осуществлять бэкдор атаки и загружать пользователям дополнительное вредоносное программное обеспечение, например программы-вымогатели или кейлоггеры. Эксперты компании полагают, что тогда к атаке была причастна китайская кибергруппировка Axiom.