Avast despliega una autodefensa reforzada y una colaboración mayor en la industria de inteligencia.
Las compañías globales de software son cada vez más objeto de ataques destructivos, ciberespionaje e incluso sabotaje a nivel de estado-nación, como lo demuestran los numerosos informes de violaciones de datos y ataques a la cadena de suministro en los últimos años. En Avast, trabajamos constantemente para adelantarnos a los malos y luchar contra los ataques a nuestros usuarios. Por lo tanto, no es tan sorprendente que nosotros mismos podamos ser un objetivo.
El 23 de septiembre, identificamos comportamientos sospechosos en nuestra red e impulsamos una investigación inmediata y extensa. Esto incluyó colaborar con la agencia de inteligencia checa, El Servicio de Información de Seguridad (BIS) y un equipo forense externo para proporcionar herramientas adicionales para ayudar a nuestros esfuerzos y verificar la evidencia que estábamos recopilando.
La evidencia que reunimos apuntaba a la actividad en MS ATA / VPN el 1 de octubre, cuando volvimos a revisar una alerta de MS ATA de una respuesta maliciosa de servicios de directorio desde una IP interna que pertenecía a nuestro rango de direcciones VPN, que originalmente se había descartado como un falso positivo. El usuario, cuyas credenciales aparentemente estaban comprometidas y asociadas con la IP, no tenía privilegios de administrador de dominio. Sin embargo, a través de una escalada de privilegios exitosa, el actor logró obtener privilegios de administrador de dominio. La conexión se realizó desde una IP pública alojada fuera del Reino Unido y determinamos que el atacante también usó otros puntos finales a través del mismo proveedor de VPN.
Al analizar las IP externas, descubrimos que el actor había intentado obtener acceso a la red a través de nuestra VPN desde el 14 de mayo de este año.
Después de un análisis más detallado, descubrimos que se accedió con éxito a la red interna con credenciales comprometidas a través de un perfil VPN temporal que se mantuvo habilitado por error y no requería autenticación en dos factores (2FA).
El 4 de octubre, observamos esta actividad nuevamente. Las marcas de tiempo para la actividad sospechosa marcada por MS ATA son (todas las veces GMT + 2):
14:00 14 de mayo de 2019
4:36 AM 15 de mayo de 2019
11:06 PM 15 de mayo de 2019
3:35 PM 24 de julio, 2019
3:45 PM 24 de julio, 2019
3:20 PM 11 de septiembre de 2019
11:57 AM 4 oct.2019
Los registros mostraron, además, que el perfil temporal había sido utilizado por múltiples conjuntos de credenciales de usuario, lo que nos hace creer que estaban sujetos a robo de credenciales.
Para rastrear al actor, dejamos abierto el perfil de VPN temporal, continuamos monitoreando e investigando todo el acceso que pasa por el perfil hasta que estuviéramos listos para llevar a cabo acciones correctivas.
Paralelamente a nuestro monitoreo e investigación, planificamos y llevamos a cabo medidas proactivas para proteger a nuestros usuarios finales y garantizar la integridad tanto del entorno de construcción de nuestro producto como de nuestro proceso de lanzamiento.
Aunque creíamos que CCleaner era el objetivo probable de un ataque a la cadena de suministro, como fue el caso en una violación de CCleaner en 2017, lanzamos una red más amplia en nuestras acciones de corrección.
El 25 de septiembre, detuvimos las próximas versiones de CCleaner y comenzamos a verificar las versiones anteriores de CCleaner y verificamos que no se hubieran realizado modificaciones maliciosas. Como dos medidas preventivas adicionales, primero volvimos a firmar una actualización limpia del producto, la enviamos a los usuarios a través de una actualización automática el 15 de octubre y, en segundo lugar, revocamos el certificado anterior. Después de tomar todas estas precauciones, confiamos en decir que nuestros usuarios de CCleaner están protegidos y no se ven afectados.
Estaba claro que tan pronto como lanzáramos la nueva versión firmada de CCleaner, estaríamos señalando a los actores maliciosos, por lo que en ese momento, cerramos el perfil de VPN temporal. Al mismo tiempo, deshabilitamos y restablecimos todas las credenciales de usuario internas. Simultáneamente, con efecto inmediato, hemos implementado un análisis profundo adicional para todas las versiones.
Además, continuamos fortaleciendo y protegiendo aún más nuestros entornos para las operaciones comerciales de Avast y la construcción de productos, incluido el restablecimiento de todas las credenciales de los empleados, con planes adicionales planificados para mejorar la seguridad comercial general en Avast.
De las ideas que hemos reunido hasta ahora, está claro que este fue un intento extremadamente sofisticado contra nosotros que tenía la intención de no dejar rastros del intruso o su propósito, y que el actor estaba progresando con una precaución excepcional para no ser detectado. No sabemos si este fue el mismo actor que antes y es probable que nunca lo sepamos con certeza, por lo que hemos llamado a este intento 'Abiss'.
Continuamos con una revisión exhaustiva del monitoreo y la visibilidad en nuestras redes y sistemas para mejorar nuestros tiempos de detección y respuesta. Además, investigaremos más nuestros registros para revelar los movimientos del actor de la amenaza y el modus operandi junto con la comunidad más amplia de seguridad y cumplimiento de la ley; ya hemos compartido indicaciones más detalladas con ellos, incluidas las IP del actor, bajo divulgación confidencial para ayudar en la investigación (TLP RED).