Globale Software-Unternehmen werden zunehmend zum Angriffsziel für Cyberattacken, Spionage und sogar staatliche Sabotage, wie viele Berichte über Datendiebstähle und Supply-Chain-Attacken über die vergangenen Jahre hinweg gezeigt haben. Bei Avast arbeiten wir kontinuierlich hart daran, den Cyberkriminellen voraus zu sein und Attacken auf unsere Nutzer abzuwehren. Es ist daher nicht ganz so überraschend, dass wir selbst ins Visier der Angreifer geraten.
Am 23. September identifizierten wir eine verdächtige Aktivität in unserem Netzwerk und initiierten daraufhin eine sofortige umfassende Untersuchung, zusammen mit dem tschechischen Nachrichtendienst, BIS, sowie mit einem externen Forensikteam.
Wir sahen am 1. Oktober Hinweise auf Aktivitäten auf MS ATA/VPN, als wir einen MS ATA-Alert bezüglich einer bösartigen Replikation von Directory-Services via einer internen IP, die zu unseren VPN-Adressen gehörte, erneut prüften. Dieser war zunächst als False Positive eingestuft worden. Jedoch hatte der Nutzer, dessen Zugangsdaten offenbar kompromittiert wurden, keine Domain-Admin-Rechte. Dennoch konnte der Angreifer durch eine erfolgreiche Rechteerweiterung Domain-Admin-Rechte gewinnen. Die Verbindung lief über eine in Großbritannien gehostete IP und wir stellten fest, dass der Angreifer auch andere Endpunkte über den gleichen VPN-Anbieter nutzte.
Bei der Analyse der externen IPs fanden wir heraus, dass der Angreifer schon seit dem 14. Mai 2019 versuchte, über unser VPN auf das Netzwerk zuzugreifen.
Durch eine weitere Analyse fanden wir heraus, dass mit kompromittierten Zugangsdaten über ein temporäres VPN-Profil, das keine Zwei-Faktor-Authentifizierung erforderte, auf das interne Netzwerk zugegriffen wurde.
Am 4. Oktober konnten wir diese Aktivität erneut beobachten.
MS ATA Zeitstempel für die verdächtigen Aktivitäten (alle Zeiten GMT+2):
2:00 AM May 14, 2019
4:36 AM May 15, 2019
11:06 PM May 15 2019
3:35 PM Jul 24, 2019
3:45 PM Jul 24, 2019
3:20 PM Sep 11, 2019
11:57 AM Oct 4, 2019
Die Logs zeigten des Weiteren, dass das temporäre Profil von verschiedenen Zugangsdaten genutzt wurde, weswegen wir glauben, dass diese gestohlen worden waren.
Um die Spuren des Angreifers zu verfolgen, ließen wir das temporäre VPN-Profil offen, um alle Zugriffe die über das Profil liefen zu beobachten und zu untersuchen, bis wir unsere Gegenmaßnahmen fertig gestellt hatten.
Zeitgleich planten und führten wir proaktive Maßnahmen zum Schutz unserer Nutzer durch und um die Integrität unserer Product-Build-Umgebung und unserer Release-Prozesse zu gewährleisten.
Zwar glauben wir, dass CCleaner wahrscheinlich das Ziel eines Supply-Chain-Angriffs sein sollte, wie es schon 2017 der Fall war, jedoch leiteten wir Präventionsmaßnahmen ein, die darüber hinaus gingen.
Am 25. September legten wir alle anstehenden CCleaner-Releases auf Eis und begannen, frühere CCleaner-Releases zu prüfen und zu verifizieren, dass keine bösartigen Änderungen vorgenommen worden waren. Weitere vorbeugende Maßnahmen waren, zunächst ein sauberes Produktupdate neu zu signieren, was wir am 15. Oktober über ein automatisches Update an unsere Nutzer verteilten, und dann das vorherige Zertifikat zu widerrufen.
Es war klar, dass wir uns mit der neu signierten Version von CCleaner vor den Angreifern verraten würden, weswegen wir zu diesem Zeitpunkt das temporäre VPN-Profil schlossen. Zur gleichen Zeit deaktivierten und setzen wir alle internen Zugangsdaten zurück. Parallel haben wir eine zusätzliche, gründliche Untersuchung aller Produktreleases eingeführt. Durch diese Maßnahmen sind wir uns sicher, dass unsere Nutzer geschützt und von diesem Vorfall nicht betroffen sind.
Darüber hinaus fuhren wir damit fort, unsere IT für Avasts operatives Geschäft und Produktumgebungen zu härten und sichern, was auch die Rücksetzung aller Mitarbeiterzugangsdaten umfasste, sowie weitere geplante Schritte, um die Unternehmenssicherheit von Avast zu verbessern.
Aus den bisher gesammelten Hinweisen wird ersichtlich, dass dies ein extrem ausgereifter Angriffsversuch gegen uns war – mit der Absicht, keine Spuren des Angreifers oder dessen Ziel zu hinterlassen, sowie dass der Angreifer mit äußerster Vorsicht vorging, um nicht entdeckt zu werden. Wir wissen nicht, ob es sich beim Angreifer um den gleichen wie 2017 handelte und wahrscheinlich werden wir dies nie sicher wissen können. Daher haben wir diesen Angriffsversuch „Abiss“ (abgeleitet von engl. Abyss / Abgrund) genannt.
Wir werden weiterhin umfassend unsere Beobachtungsmechanismen und Visibilität innerhalb unserer Netzwerke und Systeme prüfen, um unsere Erkennungs- und Reaktionszeiten zu beschleunigen. Wir werden auch unsere Logs weiter untersuchen, um die Bewegungen des Angreifers sowie dessen Vorgehensweise zu analysieren – gemeinsam mit der Cybersecurity-Industrie und den Strafverfolgungsbehörden, denen wir vertraulich detailliertere Hinweise, inklusive der IP-Adressen des Angreifers, mitgeteilt haben.