Grâce à l'utilisation d'informations d'identification compromises via un compte VPN temporaire, les pirates informatiques ont pu accéder au réseau interne de la société de cybersécurité Avast, où ils avaient probablement l'intention de lancer une attaque de la chaîne logistique visant CCleaner.
Selon le RSSI de la firme, Jaya Baloo, qui a publié un article de blog contenant davantage d'informations sur l'incident, l'attaque semble être une "tentative extrêmement sophistiquée".
Avast fait référence à cette tentative sous le nom «Abiss» et la société affirme que l'acteur de la menace derrière lui était extrêmement prudent dans le but d'éviter d'être détecté tout en cachant ses véritables intentions.
Les traces d'activité suspecte montrent que les pirates ont tenté d'accéder à son réseau interne les 14 et 15 mai, les 24 juillet, 11 septembre et le 4 octobre. L'intrus s'est connecté à partir d'une adresse IP publique au Royaume-Uni et a utilisé un profil temporaire n'étaient plus actifs et n'étaient pas protégés par une authentification à deux facteurs.
De plus, l'utilisateur dont les informations d'identification avaient été compromises ne disposait pas des autorisations d'un administrateur de domaine, ce qui indique que l'attaquant a été capable d'atteindre une élévation de privilèges. Les journaux ont également montré que le profil temporaire avait été utilisé par plusieurs ensembles d'informations d'identification de l'utilisateur, ce qui pouvait signifier que l'utilisateur avait été victime d'un vol d'informations d'identification.
Sommaire
Ciblage de CCleaner
Étant donné qu'Avast soupçonnait que l'attaquant visait CCleaner, la société a arrêté toutes les mises à jour à venir du logiciel le 25 septembre et a commencé à vérifier les versions antérieures pour voir si elles avaient été modifiées de manière malveillante.
Avast a signé de nouveau une version officielle de CCleaner et l'a présentée comme une mise à jour automatique le 15 octobre afin d'éviter tout risque pour ses utilisateurs et que l'ancien certificat soit également révoqué.
Jaya Baloo a expliqué comment elle avait utilisé une nouvelle version de CCleaner pour empêcher l’attaquant d’accéder au réseau interne d’Avast, en déclarant:
"Il était clair que dès que nous aurions publié la version nouvellement signée de CCleaner, nous allions donner un pourboire aux acteurs malveillants. Nous avons donc fermé le profil VPN temporaire. En même temps, nous avons désactivé et réinitialisé tous les informations d'identification des utilisateurs internes. Simultanément, à compter de maintenant, nous avons mis en place un contrôle supplémentaire de toutes les versions. "
Avast a ensuite suivi l'intrus en maintenant le profil VPN actif et en surveillant les accès jusqu'à ce que ses actions d'atténuation puissent être déployées avec succès.
La société a informé les forces de l'ordre de la violation de la sécurité et une équipe de police scientifique externe a été employée pour vérifier les données recueillies.
- Consultez également notre liste complète des meilleurs services VPN de 2019
Via l'ordinateur de saignement
