Globální softwarové společnosti se stále častěji stávají terči ničivých útoků, kybernetických špionáží či dokonce sabotáží vedených cizími zeměmi. O tom svědčí zprávy o únicích dat a o tzv. útocích v dodavatelském řetězci (suplly chain attacks) z posledních let. V Avastu neustále pracujeme na tom, abychom byli před útočníky napřed a odvraceli útoky na naše uživatele, a tak není překvapivé, že i přes třicetileté renomé v oblasti kybernetické obrany, jsme se i my sami stali cílem kyberútočníků.
Konkrétně šlo o případ, kdy jsme 23. září 2019 v naší síti zjistili podezřelé chování. Okamžitě jsme zahájili rozsáhlé vyšetřování, jehož součástí byla i spolupráce s českou Bezpečnostní informační službou (BIS). Cílem bylo získat pro naši snahu dodatečné nástroje a také prověřit důkazy, které jsme shromáždili.
Shromážděné důkazy ukazovaly na aktivitu v MS ATA/VPN z 1. října. Znovu jsme překontrolovali výstrahu MS ATA, kterou jsme původně označili jako falešně pozitivní a která signalizovala, že došlo k podezřelé replikaci adresářů z interní IP adresy patřící mezi naše VPN adresy. Ukázalo se, že uživatel, jehož přihlašovací údaje byly zjevně zcizeny a přidruženy k IP adrese, neměl oprávnění správce domény, ale úspěšně navýšil svá oprávnění, a tak se mu podařilo získat přístupy správce domény. Připojení se uskutečnilo z veřejné IP adresy z hostingu M247 ve Velké Británii, útočník ale použil i další výstupní body stejného VPN poskytovatele.
Při analýze externích IP adres jsme zjistili, že útočník se pokoušel získat přístup k síti prostřednictvím naší VPN už 14. května 2019.
Po dalším rozboru vyšlo najevo, že interní síť byla přístupná prostřednictvím zcizených přihlašovacích údajů přes dočasný VPN profil, který zůstal chybně povolený a nevyžadoval dvoufázové ověření.
Znovu jsme tuto aktivitu zpozorovali 4. října. Konkrétní časy podezřelé aktivity označené MS ATA jsou (vždy v časovém pásmu GMT+ 2):
14:00 14. května 2019
04:36 15. května 2019
23:06 15. května 2019
15:35 24. července 2019
15:45 24. července 2019
15:20 11. září 2019
11:57 4. října 2019
Záznamy dále ukázaly, že dočasný profil použil několik sad uživatelských údajů, z čehož jsme usoudili, že tyto přístupové údaje byly kradené.
Abychom mohli sledovat aktéra, nechali jsme dočasný VPN profil otevřený a pokračovali v monitorování a vyšetřování přístupů procházejících tímto profilem až do chvíle, kdy jsme byli připraveni zjednat nápravu.
Souběžně s naším monitorováním a vyšetřováním jsme prováděli proaktivní opatření na ochranu našich uživatelů a kompletně jsme odizolovali prostředí, ve kterém sestavujeme produkty a vydáváme aktualizace.
Zpočátku jsme se domnívali, že cílem útoku v dodavatelském řetězci byl náš produkt a populární optimalizační nástroj CCleaner, podobně jako v roce 2017. Přesto jsme pokračovali v rozsáhlejších nápravných krocích.
25. září jsme zastavili vydání CCleaneru a začali kontrolovat jeho předchozí verze, abychom si byli jisti, že nebyly manipulovány. Následně jsme preventivně vydali novou aktualizaci, kterou jsme uživatelům poskytli formou automatické aktualizace 15. října, a také jsme zrušili předchozí certifikát. Po přijetí všech těchto preventivních opatření můžeme s jistotou říci, že uživatelé CCleaneru jsou chráněni a nebyli zasaženi.
Bylo jasné, že jakmile vydáme novou verzi CCleaneru, tak útočníci poznají, že o nich víme, takže jsme zavřeli dočasný VPN profil. Zároveň jsme deaktivovali a resetovali všechny přístupové údaje našich zaměstnanců. Zastavili jsme také veřejná vydání našich dalších produktů, abychom zajistili, že všechny aktualizace budou před vydáním podrobeny rozsáhlé kontrole.
Kromě toho jsme ještě více zpřísnili zabezpečení našeho síťového prostředí a přípravu vydávání nových verzí produktů Avastu. Součástí opatření bylo i resetování všech přístupových údajů našich zaměstnanců.
Z poznatků, které jsme dosud shromáždili, je zřejmé, že se jednalo o nesmírně sofistikovaný pokus namířený proti nám. Aktér postupoval s mimořádnou opatrností a snažil se nezanechat stopy po sobě, ani po účelu celé akce. Nevíme, jestli to byl stejný aktér jako předtím, a je pravděpodobné, že to nikdy nebudeme s jistotou vědět, takže jsme tento pokus nazvali „Abiss“.
I nadále pokračujeme v rozsáhlém monitorování napříč interními sítěmi a systémy, protože chceme zlepšit naši detekční a reakční dobu. Prozkoumáváme dál naše záznamy, abychom odhalili pohyb a postupy útočníka. Ve spolupráci s širší kybernetickou komunitou i bezpečnostními složkami pak pokračujeme ve vyšetřování činnosti aktérů tohoto pokusu o útok. Abychom maximálně napomohli vyšetřování, předali jsme jim pod podmínkou mlčenlivosti detailní indikátory včetně IP adres aktéra útoku.