Avast déploie une autodéfense renforcée et une collaboration plus large dans le secteur du renseignement
Les entreprises mondiales de logiciels sont de plus en plus la cible d'attaques préjudiciables, de cyber-espionnage, et même de sabotage au niveau des États. Les nombreux rapports faisant état d'atteintes à la protection des données et d'attaques de la chaîne d'approvisionnement au cours de ces dernières années le prouvent. Chez Avast, nous travaillons dur et en continu pour garder une longueur d'avance sur les cybercriminels et pour combattre les attaques contre nos utilisateurs. Il n'est donc pas surprenant que nous puissions également être une cible.
Le 23 septembre dernier, nous avons identifié des comportements suspects sur notre réseau et lancé une enquête immédiate et approfondie. Nous avons notamment collaboré avec l'agence de renseignement tchèque, le Service de sécurité et de renseignement (BIS), ainsi qu’avec une équipe forensics externe, afin qu’ils nous fournissent des outils supplémentaires pour nous aider dans nos efforts et à vérifier les preuves que nous étions en train de recueillir.
Ces éléments collectés ont fait état d’une activité sur MS ATA/VPN le 1er octobre dernier, lorsque nous avons réexaminé une alerte MS ATA. Cette dernière concernait une réplication malveillante de services d'annuaire à partir d'une adresse IP interne appartenant à notre plage d'adresses VPN, qui avait été initialement rejetée comme un faux positif. L'utilisateur, dont les informations d'identification étaient apparemment compromises et associées à l'adresse IP, n'avait pas les privilèges d'administrateur de domaine. Cependant, grâce à une élévation réussie des privilèges, le cybercriminel est parvenu à obtenir ces droits d'administrateur. La connexion a été établie à partir d'une adresse IP publique sortant du Royaume-Uni et l'attaquant a aussi utilisé d'autres terminaux via le même fournisseur VPN.
En analysant les adresses IP externes, nous avons constaté que le pirate informatique avait tenté d'accéder au réseau via notre VPN dès le 14 mai dernier. Après un contrôle plus poussé, nous avons également observé une introduction réussie sur le réseau interne, via des identifiants compromis avec un profil VPN temporaire qui avait été activé par erreur, et qui ne nécessitait pas d’authentification à deux facteurs ; une intrusion repérée sept fois entre le 14 mai et le 4 octobre dernier.
L’analyse des logs a également montré que le profil temporaire avait été utilisé avec plusieurs combinaisons d’identifiants utilisateurs, ce qui nous porte à croire qu’ils ont fait l’objet d’un vol. Afin de suivre la trace de l’auteur des faits, nous avons laissé le profil VPN temporaire ouvert et continué à surveiller et contrôler tous les accès jusqu'à ce que nous soyons prêts à mener des actions correctives. En parallèle, nous avons planifié et mis en œuvre des mesures proactives pour protéger nos utilisateurs finaux et assurer l'intégrité de notre environnement de développement de produits ainsi que de notre processus de diffusion.
Même si nous pensons que CCleaner était la cible probable d'une attaque de la chaîne d'approvisionnement, comme ce fut le cas lors d'une brèche de 2017, nous avons élargi nos mesures correctives.
Le 25 septembre, par prévention, nous avons suspendu les prochaines versions de CCleaner et commencé à vérifier les versions antérieures, puis contrôlé qu'il n’y avait aucune altération malveillante. En outre, nous avons re-signé une mise à jour propre du produit que nous avons transmis aux utilisateurs via une mise à jour automatique le 15 octobre avant de révoquer le certificat précédent. Au regard de toutes ces précautions mises en place, nous pouvons dire en toute confiance que nos utilisateurs de CCleaner sont protégés et non affectés.
Il était clair qu’au lancement de la nouvelle version signée de CCleaner, nous céderions la main aux acteurs malveillants. C’est pourquoi nous avons désormais fermé le profil VPN temporaire. Nous avons aussi désactivé et réinitialisé toutes les informations d'identification de l'utilisateur interne. Simultanément, à partir d’aujourd’hui, nous avons mis en place un contrôle supplémentaire de toutes les versions.
De plus, nous avons continué à renforcer et à sécuriser davantage nos environnements pour les opérations commerciales et les solutions d'Avast, y compris la réinitialisation de toutes les informations d'identification des employés. Des mesures supplémentaires sont prévues pour améliorer la sécurité globale des activités d'Avast.
D'après les informations recueillies jusqu'à présent, il est évident qu'il s'agissait d'une tentative d’attaque extrêmement sophistiquée à notre encontre, visant à ne laisser aucune trace de l'intrus ni de son objectif ; et que l'auteur progressait avec une prudence exceptionnelle pour ne pas être détecté. Nous ne savons pas s'il s'agissait du même acteur que la tentative d’attaque précédente et nous ne le saurons peut-être jamais, c’est pourquoi nous l’avons baptisée “Abiss”.
Nous poursuivons une analyse approfondie de la surveillance et de la visibilité de nos réseaux ainsi que des systèmes, afin d’améliorer nos temps de détection et de réponse. Nous examinerons également nos journaux d'événements pour révéler les mouvements et le mode opératoire des auteurs de la menace avec la communauté de la sécurité au sens large et les autorités. Nous avons déjà partagé des informations plus détaillées avec celles-ci, y compris les adresses IP du pirate informatique, dans le cadre d'une divulgation confidentielle afin de faciliter l'enquête (TLP RED).