http://image.prntscr.com/image/fbHBy...YYrG2UUn2Q.png
Киберпреступники https://blog.avast.com/ccleaner-figh...-attempt-abissвнутреннюю сеть чешской компании Avast, скомпрометировав VPN-профиль ее сотрудника, который не был защищен с помощью многофакторной аутентификации. По мнению компании, целью атаки было внедрение вредоносного программного обеспечения в программу CCleaner. Атака была обнаружена 23 сентября нынешнего года, однако злоумышленники пытались получить доступ к сети VPN еще 14 мая.
«У пользователя, чьи учетные данные были явно скомпрометированы и связаны с IP-адресом, не было привилегий администратора. Однако благодаря успешному повышению привилегий, преступникам удалось получить права администратора домена», — сообщила директор по информационной безопасности Avast Джая Балу (Jaya Baloo).
Компания намеренно оставила скомпрометированный VPN-профиль активным, чтобы отслеживать злоумышленника и наблюдать за его действиями. Слежка продолжалось до 15 октября, когда компания завершила аудит предыдущих выпусков CCleaner и выпустила новое обновление. В то же время Avast изменила цифровой сертификат, который использовался для подписи обновлений CCleaner. Свежий выпуск был подписан новым цифровым сертификатом, а предыдущий, использовавшийся для подписи старых версий CCleaner, — отозван. Таким образом компания предотвратила попытки злоумышленников подписать поддельные обновления CCleaner.
В настоящее время компания расследует инцидент, однако пока нет никаких доказательств того, что это нападение было совершено той же группой, которая нарушила ее инфраструктуру два года назад. Напомним, в сентябре 2017 года в популярной утилите CCleaner от компании Avast был обнаружен вредоносный код. Бэкдор позволял злоумышленникам загружать дополнительное вредоносное ПО, например, программы-вымогатели или кейлоггеры. Как полагают эксперты, к атаке была причастна китайская кибергруппировка Axiom.