Článek
„Pokus o neúspěšný útok jsme pojmenovali Abiss a jeho vyšetřování stále probíhá, spolupracujeme na něm s policií, bezpečnostními složkami i s širokou kybernetickou komunitou,“ prohlásila bezpečnostní ředitelka Avastu Jaya Baloo.
Právě s ohledem na probíhající vyšetřování nejsou všechny informace o útoku ještě k dispozici. Jisté je nicméně to, že kybernetická špionáž nebyla zaměřena na antivirový program Avast, ale na nástroj pro optimalizaci počítače CCleaner, který do portfolia společnosti také patří.
Co všechno dělají aplikace na mobilech? Často mají oprávnění, která nepotřebují
Podezřelé chování zachytili na konci září
Konkrétně bezpečnostní experti 23. září 2019 v síti Avastu zjistili podezřelé chování. „Okamžitě jsme zahájili rozsáhlé vyšetřování, jehož součástí byla i spolupráce s českou Bezpečnostní informační službou (BIS), s divizí kybernetické bezpečnosti české policie a s externím forenzním týmem. Cílem bylo získat pro naši snahu dodatečné nástroje a také prověřit důkazy, které jsme shromáždili,“ podotkla Baloo.
„Ukázalo se, že uživatel, jehož přihlašovací údaje byly zjevně zcizeny a přidruženy k IP adrese, neměl oprávnění správce domény, ale úspěšně navýšil svá oprávnění, a tak se mu podařilo získat přístupy správce domény. Připojení se uskutečnilo z veřejné IP adresy z hostingu M247 ve Velké Británii, útočník ale použil i další výstupní body stejného VPN poskytovatele,“ konstatovala bezpečnostní ředitelka.
CCleaner
Podle ní vyšetřování ukázalo, že útočník se pokoušel získat přístup k síti prostřednictvím VPN Avastu již 14. května 2019. Po dalším rozboru vyšlo najevo, že interní síť byla přístupná prostřednictvím zcizených přihlašovacích údajů přes dočasný VPN profil, který zůstal chybně povolený a nevyžadoval dvoufázové ověření.
Podvodníci si vytvořili stroj na peníze. Napálily se miliony lidí
„Abychom mohli sledovat aktéra, nechali jsme dočasný VPN profil otevřený a pokračovali v monitorování a vyšetřování přístupů procházejících tímto profilem až do chvíle, kdy jsme byli připraveni zjednat nápravu,“ uvedla Baloo.
Uživatelé nebyli útokem nijak dotčeni
Podle ní bezpečnostní experti pozastavili vydávání CCleaneru a začali na konci září kontrolovat jeho předchozí verze, aby zjistili, zda nebyly manipulovány – tedy zda do nich nebyl vložen nějaký škodlivý kód. „Bylo jasné, že jakmile vydáme novou verzi CCleaneru, tak útočníci poznají, že o nich víme,“ konstatovala bezpečnostní ředitelka.
BIS s policií rozprášily síť, kterou tu vytvářela ruská tajná služba
Zdůraznila nicméně, že uživatelé CCleaneru jsou v současnosti chráněni a útokem díky včasnému zásahu nebyli nijak dotčeni. „Z poznatků, které jsme dosud shromáždili, je zřejmé, že se jednalo o nesmírně sofistikovaný pokus namířený proti nám. Aktér postupoval s mimořádnou opatrností a snažil se nezanechat stopy po sobě ani po účelu celé akce,“ uzavřela Baloo.
