Hackers logran acceder a la red de Avast: CCleaner como posible objetivo del ataque

Hackers logran acceder a la red de Avast: CCleaner como posible objetivo del ataque
4 comentarios Facebook Twitter Flipboard E-mail

Avast ha reconocido en un comunicado haber sido víctima de una campaña de ciberespionaje, en la que se tuvo acceso a su red. Según la compañía, el trabajar constantemente contra los ataques, hace que "no sea sorprendente que ellos mismos puedan ser un objetivo de ellos".

Según cuentan, el día 23 de septiembre descubrieron 'comportamientos sospechosos' en su red, iniciando en dicho momento una investigación. En la misma, colaboraron con la agencia de inteligencia checa, el BIS (Security Information Service), así como con la policía local checa y un equipo forense externo.

CCleaner como posible potencial objetivo

Ccleaner

Como adelantamos, la alerta saltó en Avast el pasado 23 de septiembre, aunque el 1 de octubre se reunió la evidencia necesaria para comprobar que se había realizado un ataque. En concreto, apuntan a una "replicación maliciosa de servicios de directorio desde una IP interna". Dichos servicios de directorio, como leemos en Forbes, hacen referencia a software que permiten a los administradores Se tuvo acceso a una cuenta de usuario comprometida (sin permisos de administrador de dominio), en la que lograron escalar los permisos.

La evidencia que reunimos apuntaba a la actividad en MS ATA / VPN el 1 de octubre, cuando volvimos a revisar una alerta de MS ATA de una replicación maliciosa de servicios de directorio desde una IP interna que pertenecía a nuestro rango de direcciones VPN, que originalmente se había descartado como Un falso positivo. El usuario, cuyas credenciales aparentemente estaban comprometidas y asociadas con la IP, no tenía privilegios de administrador de dominio. Sin embargo, a través de una escalada de privilegios exitosa, el actor logró obtener privilegios de administrador de dominio. La conexión se realizó desde una IP pública alojada fuera del Reino Unido y determinamos que el atacante también usó otros puntos finales a través del mismo proveedor de VPN.

Hack

Analizando las IP externas, Avast descubrió que se había intentado acceder a la red a través de la propia VPN de Avast desde el día 14 de mayo. Desde dicha fecha, se produjeron varios intentos de acceso con distintos nombres de usuario y contraseñas para acceder a la citada VPN. Según cuentan, se logró acceder a dicha red interna a través de un perfil VPN temporal que se mantuvo habilitado por error, y que no requería de autentificación en dos pasos a la hora de realizar la conexión.

Desde Avast apuntan que CCleaner pudo ser el principal objetivo. El software ya fue atacado hace dos años

Desde Avast apuntan a que, probablemente, CCleaner. Este software ya fue hackeado en el año 2017, siendo ahora propiedad de Avast. Con la sospecha sobre la mesa, la compañía verificó anteriores versiones de CCleaner y detuvo las que estaban por salir. Del mismo modo, firmaron una actualización del producto que se envió e instaló de forma automática el día 15 de octubre.

"De las ideas que hemos reunido hasta ahora, está claro que este fue un intento extremadamente sofisticado contra nosotros que tenía la intención de no dejar rastros del intruso o su propósito, y que el actor estaba progresando con una precaución excepcional para no ser detectado No sabemos si este fue el mismo actor que antes y es probable que nunca lo sepamos con certeza, por lo que hemos llamado a este intento 'Abiss'.

Desde Avast afirman que, tras las actualizaciones de seguridad enviadas, los usuarios están totalmente protegidos y que continúan con el monitoreo y el estudio de estos ataques, para tratar de obtener información sobre el principal actor del ataque.

Vía | Avast

Comentarios cerrados
Inicio