A Avast fortalece o seu sistema de autodefesa e amplia colaboração de inteligência com empresas de cibersegurança.
Cada vez mais, as empresas de software global são alvo de ataques disruptivos, ciberespionagem e até mesmo sabotagem ao nível de governos e países, como ficou evidenciado por muitos relatos de invasões e ataques às cadeias de fornecimento ao longo dos últimos anos. Na Avast, estamos constantemente trabalhando duro para ficar à frente desses bandidos e combater os ataques aos nossos usuários. Portanto, não é tão surpreendente que nós mesmos poderíamos ser um alvo.
Em 23 de setembro, identificamos um comportamento suspeito em nossa rede e iniciamos imediatamente uma extensa investigação. Isto incluiu colaborar com a agência de inteligência Checa, o Security Information Service - BIS, a divisão de segurança cibernética Checa e uma equipe forense externa para conseguir ferramentas adicionais para ajudar nos nossos esforços e verificar a veracidade das informações que estávamos coletando.
As evidências que foram colhidas apontaram para uma atividade via VPN (MS ATA) no dia 1 de outubro, quando revimos pela segunda vez um alerta MS ATA de uma replicação maliciosa dos serviços de diretório a partir de um IP interno que pertencia à nossa gama de endereços VPN e que, originalmente, havia sido descartado como um falso positivo. O usuário, cujas credenciais foram aparentemente comprometidas e associadas ao IP, não tem privilégios de administrador de domínio. No entanto, através de uma escalada de privilégios bem-sucedida, os cibercriminosos conseguiram obter privilégios de administrador de domínio. A ligação foi feita a partir de um IP público hospedado fora do Reino Unido e descobrimos que os atacantes também usaram outros terminais com o mesmo provedor de VPN.
Ao analisarmos os IPs externos, descobrimos que os cibercriminosos tinham tentado obter acesso à nossa rede através do nosso VPN pelo menos desde 14 de maio deste ano.
Após uma análise mais aprofundada, verificou-se que a rede interna foi acessada com êxito com credenciais comprometidas através de um perfil temporário da VPN que havia sido erroneamente mantido ativado e que não exigia autenticação por 2 fatores (2FA).
Em 4 de outubro, observamos novamente esta atividade. Os horários da atividade suspeita sinalizados por MS ATA são (em GMT+2):
- 02:00 de 14 maio de 2019
- 04:36 de 15 maio de 2019
- 23:06 de 15 maio 2019
- 15:35 de 24 de julho de 2019
- 15:45 de 24 de julho de 2019
- 15:20 de 11 set 2019
- 11:57 de 4 de outubro de 2019
Os registros mostraram ainda que o perfil temporário tinha sido usado por vários conjuntos de credenciais de usuários, levando-nos a acreditar que todas essas credenciais foram roubadas.
A fim de acompanhar o caso, deixamos aberto o perfil temporário da VPN e continuamos acompanhando e investigando todos os acessos por este perfil, até que estivéssemos prontos para realizar ações de remediação.
Em paralelo com nosso o nosso monitoramento e investigação, planejamos e executamos medidas proativas para proteger nossos usuários finais e garantir a integridade tanto do nosso ambiente de compilação do produto como do nosso processo de liberação de atualizações.
Ainda que acreditássemos que o CCleaner tinha sido provavelmente o alvo de um ataque de cadeia de suprimentos – como foi o caso da invasão do CCleaner em 2017 – ampliamos o espectro das nossas ações de remediação.
Em 25 de setembro, interrompemos os próximos lançamentos do CCleaner e começamos a verificar as versões anteriores do CCleaner para descobrir que não tinha sido feita nenhuma alteração maliciosa. Como outras duas medidas preventivas, primeiro reassinamos digitalmente uma atualização limpa do produto e publicamos uma atualização automática em 15 de outubro e, segundo, revogamos o certificado digital anterior. Tendo tomado todas essas precauções, estamos confiantes em dizer que os nossos usuários CCleaner estão seguros e não foram afetados.
Estava claro para nós que, assim que lançássemos a atualização do CCleaner com o novo certificado, teríamos de deixar de acompanhar os atores maliciosos, por isso, naquele momento, fechamos o perfil temporário da VPN. Ao mesmo tempo, desativamos e alteramos todas as credenciais dos nossos usuários internos. Simultaneamente e com efeito imediato, implementamos processos de segurança adicional em todas as atualizações dos nossos produtos.
Além disso, continuamos a fortalecer e proteger ainda mais os nossos ambientes de operação e de produção de produtos, incluindo a troca de todas as credenciais dos nossos funcionários, além de novas medidas que foram planejadas para aprimorar a segurança global da Avast.
A partir dos dados reunidos até agora, está claro que esta foi uma tentativa extremamente sofisticada contra a Avast que tinha a intenção de não deixar nenhum vestígio dos intrusos ou dos seus propósitos, e que os cibercriminosos estavam progredindo com cuidado excepcional, a fim de não serem detectados. Não sabemos se eram os mesmos de 2017, mas também é provável que nunca ficaremos sabendo com certeza, por isso, denominamos essa tentativa de ataque de Abiss.
Continuamos em uma extensa revisão de monitoramento e de transparência em nossas redes e sistemas para melhorar os nossos tempos de detecção e de resposta. Além disso, vamos investigar mais profundamente os nossos registos para revelar os movimentos e o modus operandi desses cibercriminosos para a comunidade de segurança e organismos policiais em geral. Já compartilhamos com eles dados mais detalhados, incluindo os endereços IP usados, que seguem em segredo para ajudar na investigação.
