Los piratas informáticos rompen la red antivirus de Avast a través de un perfil VPN inseguro

Los hackers accedieron a la red interna de la empresa checa de ciberseguridad Avast, probablemente con el objetivo de un ataque a la cadena de suministro dirigido a CCleaner. Detectado el 25 de septiembre, los intentos de intrusión comenzaron desde el 14 de mayo.

Después de una investigación, el fabricante de antivirus determinó que el atacante podía obtener acceso utilizando credenciales comprometidas a través de una cuenta VPN temporal.

De puntillas a mayores privilegios

Según la información recopilada hasta aquí, el ataque parece ser “un intento extremadamente sofisticado”, dice Jaya Baloo, Director de Seguridad de la Información de Avast (CISO).

Avast se refiere a este intento con el nombre de ‘Abiss’ y dice que el actor de la amenaza detrás de él ejerció una extrema precaución para evitar ser detectado y ocultar los rastros de su intención.

Los registros de la actividad sospechosa muestran entradas el 14 y 15 de mayo, el 24 de julio, el 11 de septiembre y el 4 de octubre.

El intruso se conectó desde una dirección IP pública en el Reino Unido y aprovechó un perfil VPN temporal que ya no debería haber estado activo y no estaba protegido con autenticación de dos factores (2FA).

En una declaración de  hoy, Jaya Baloo dice que la compañía recibió una alerta por “una replicación maliciosa de los servicios de directorio desde una IP interna que pertenecía a nuestro rango de direcciones VPN”; Sin embargo, esto había sido descartado como falso positivo.

Sin embargo, resultó que el usuario cuyas credenciales se habían visto comprometidas no tenía los permisos de un administrador de dominio, lo que indica que el atacante logró la escalada de privilegios.

Los registros mostraron además que el perfil temporal había sido utilizado por múltiples conjuntos de credenciales de usuario, lo que nos hace creer que estaban sujetos a robo de credenciales.

Actualizaciones de CCleaner examinadas para su lanzamiento

Sospechando de CCleaner como el activo objetivo, Avast el 25 de septiembre detuvo las próximas actualizaciones para el software y comenzó a verificar versiones anteriores para detectar modificaciones maliciosas.

Para garantizar que sus usuarios no corran ningún riesgo, la empresa volvió a firmar un lanzamiento oficial de CCleaner y lo envió como una actualización automática el 15 de octubre . Ese lanzamiento actualizó a los usuarios que todavía tienen la versión 5.57 a la versión 5.62 del producto para que puedan beneficiarse de “su seguridad mejorada y su rendimiento mejorado”.

Además, el antiguo certificado fue revocado, dice hoy en una declaración Jaya Baloo, directora de seguridad de la información de Avast (CISO).

“Estaba claro que tan pronto como lanzáramos la nueva versión firmada de CCleaner, estaríamos señalando a los actores maliciosos, por lo que en ese momento, cerramos el perfil de VPN temporal. Al mismo tiempo, desactivamos y restablecimos todo credenciales de usuario internas. Simultáneamente, con efecto inmediato, hemos implementado un escrutinio adicional para todas las versiones “. Jaya Baloo

No está claro si este es el mismo actor de amenaza responsable del ataque a la cadena de suministro de CCleaner divulgado en 2017 . Hay pocas posibilidades de descubrir una conexión entre estos dos incidentes.

La compañía rastreó al intruso manteniendo activo el perfil de VPN y monitoreando el acceso que lo atraviesa hasta que se puedan implementar acciones de mitigación.

La policía ha sido notificada de la intrusión y un equipo forense externo ayudó a los esfuerzos de Avast para verificar los datos recopilados.

Avast continuará revisando y monitoreando sus redes para una mejor detección y una respuesta más rápida en el futuro.

La investigación en las acciones de este actor de amenazas también continuará, para obtener inteligencia sobre cómo funcionan. Algunos detalles, como las direcciones IP utilizadas para la intrusión, se han compartido con la policía y la comunidad de ciberseguridad. La información está marcada como TLP: ROJO, lo que significa que no se puede compartir.

fuente: https://www.bleepingcomputer.com

Comments are closed.