Noticias corporativas

Avast se defende de tentativa de ciberespionagem (Abiss)

Jaya Baloo, 21 Outubro 2019

A Avast fortalece o seu sistema de autodefesa e amplia colaboração de inteligência com empresas de cibersegurança.

Cada vez mais, as empresas de software global são alvo de ataques disruptivos, ciberespionagem e até mesmo sabotagem ao nível de governos e países, como ficou evidenciado por muitos relatos de invasões e ataques às cadeias de fornecimento ao longo dos últimos anos. Na Avast, estamos constantemente trabalhando duro para ficar à frente desses bandidos e combater os ataques aos nossos usuários. Portanto, não é tão surpreendente que nós mesmos poderíamos ser um alvo.

Em 23 de setembro, identificamos um comportamento suspeito em nossa rede e iniciamos imediatamente uma extensa investigação. Isto incluiu colaborar com a agência de inteligência Checa, o Security Information Service - BIS, a divisão de segurança cibernética Checa e uma equipe forense externa para conseguir ferramentas adicionais para ajudar nos nossos esforços e verificar a veracidade das informações que estávamos coletando.

As evidências que foram colhidas apontaram para uma atividade via VPN (MS ATA) no dia 1 de outubro, quando revimos pela segunda vez um alerta MS ATA de uma replicação maliciosa dos serviços de diretório a partir de um IP interno que pertencia à nossa gama de endereços VPN e que, originalmente, havia sido descartado como um falso positivo. O usuário, cujas credenciais foram aparentemente comprometidas e associadas ao IP, não tem privilégios de administrador de domínio. No entanto, através de uma escalada de privilégios bem-sucedida, os cibercriminosos conseguiram obter privilégios de administrador de domínio. A ligação foi feita a partir de um IP público hospedado fora do Reino Unido e descobrimos que os atacantes também usaram outros terminais com o mesmo provedor de VPN.

Ao analisarmos os IPs externos, descobrimos que os cibercriminosos tinham tentado obter acesso à nossa rede através do nosso VPN pelo menos desde 14 de maio deste ano.

Após uma análise mais aprofundada, verificou-se que a rede interna foi acessada com êxito com credenciais comprometidas através de um perfil temporário da VPN que havia sido erroneamente mantido ativado e que não exigia autenticação por 2 fatores (2FA).

Em 4 de outubro, observamos novamente esta atividade. Os horários da atividade suspeita sinalizados por MS ATA são (em GMT+2):

  • 02:00 de 14 maio de 2019
  • 04:36 de 15 maio de 2019
  • 23:06 de 15 maio 2019
  • 15:35 de 24 de julho de 2019
  • 15:45 de 24 de julho de 2019
  • 15:20 de 11 set 2019
  • 11:57 de 4 de outubro de 2019

Os registros mostraram ainda que o perfil temporário tinha sido usado por vários conjuntos de credenciais de usuários, levando-nos a acreditar que todas essas credenciais foram roubadas.

A fim de acompanhar o caso, deixamos aberto o perfil temporário da VPN e continuamos acompanhando e investigando todos os acessos por este perfil, até que estivéssemos prontos para realizar ações de remediação.

Em paralelo com nosso o nosso monitoramento e investigação, planejamos e executamos medidas proativas para proteger nossos usuários finais e garantir a integridade tanto do nosso ambiente de compilação do produto como do nosso processo de liberação de atualizações.

Ainda que acreditássemos que o CCleaner tinha sido provavelmente o alvo de um ataque de cadeia de suprimentos – como foi o caso da invasão do CCleaner em 2017 – ampliamos o espectro das nossas ações de remediação.

Em 25 de setembro, interrompemos os próximos lançamentos do CCleaner e começamos a verificar as versões anteriores do CCleaner para descobrir que não tinha sido feita nenhuma alteração maliciosa. Como outras duas medidas preventivas, primeiro reassinamos digitalmente uma atualização limpa do produto e publicamos uma atualização automática em 15 de outubro e, segundo, revogamos o certificado digital anterior. Tendo tomado todas essas precauções, estamos confiantes em dizer que os nossos usuários CCleaner estão seguros e não foram afetados.

Estava claro para nós que, assim que lançássemos a atualização do CCleaner com o novo certificado, teríamos de deixar de acompanhar os atores maliciosos, por isso, naquele momento, fechamos o perfil temporário da VPN. Ao mesmo tempo, desativamos e alteramos todas as credenciais dos nossos usuários internos. Simultaneamente e com efeito imediato, implementamos processos de segurança adicional em todas as atualizações dos nossos produtos.

Além disso, continuamos a fortalecer e proteger ainda mais os nossos ambientes de operação e de produção de produtos, incluindo a troca de todas as credenciais dos nossos funcionários, além de novas medidas que foram planejadas para aprimorar a segurança global da Avast.

A partir dos dados reunidos até agora, está claro que esta foi uma tentativa extremamente sofisticada contra a Avast que tinha a intenção de não deixar nenhum vestígio dos intrusos ou dos seus propósitos, e que os cibercriminosos estavam progredindo com cuidado excepcional, a fim de não serem detectados. Não sabemos se eram os mesmos de 2017, mas também é provável que nunca ficaremos sabendo com certeza, por isso, denominamos essa tentativa de ataque de Abiss.

Continuamos em uma extensa revisão de monitoramento e de transparência em nossas redes e sistemas para melhorar os nossos tempos de detecção e de resposta. Além disso, vamos investigar mais profundamente os nossos registos para revelar os movimentos e o modus operandi desses cibercriminosos para a comunidade de segurança e organismos policiais em geral. Já compartilhamos com eles dados mais detalhados, incluindo os endereços IP usados, que seguem em segredo para ajudar na investigação.