Powered By Blogger

Rechercher sur ce blogue

jeudi 31 octobre 2019

Avast affirme que des pirates informatiques ont violé le réseau interne via un profil VPN compromis



Avast affirme que des pirates informatiques ont violé le réseau interne via un profil VPN compromis

Hackers, avast, antivirus, vpn, Ccleaner, malware,
Un fabricant tchèque d’antivirus dévoile une deuxième attaque visant à compromettre les versions de CCleaner. Le fabricant de logiciels de cyber-sécurité tchèque Avast a annoncé aujourd’hui une violation de la sécurité affectant son réseau interne.

Dans une déclaration publiée aujourd'hui, la société a déclaré qu'elle pensait que le but de cette attaque était d'insérer un logiciel malveillant dans le logiciel CCleaner, à l'instar du tristement célèbre incident de CCleaner 2017.

Avast a déclaré que l'infraction avait eu lieu parce que l'attaquant avait compromis les informations d'identification VPN d'un employé et obtenu l'accès à un compte qui n'était pas protégé à l'aide d'une solution d'authentification à plusieurs facteurs.

L'intrusion a été détectée le 23 septembre, mais Avast a déclaré avoir trouvé des preuves de l'attaquant visant son infrastructure depuis le 14 mai de cette année.

"L'utilisateur, dont les informations d'identification étaient apparemment compromises [...], ne disposait pas de privilèges d'administrateur de domaine. Toutefois, après une élévation réussie des privilèges, l'acteur est parvenu à obtenir les privilèges d'administrateur de domaine", a déclaré Jaya Baloo, responsable de la sécurité des informations chez Avast (Avast). RSSI).

L’augmentation soudaine des droits d’accès a amené la société à enquêter, a déclaré Baloo à ZDNet dans un courrier électronique aujourd’hui.

Le personnel a finalement repéré d'autres alertes de sécurité dans le tableau de bord ATA d'Avast, des alertes ignorées auparavant par les ingénieurs, pensant qu'il s'agissait de faux positifs. ATA signifie Microsoft Advanced Threat Analytics, un moteur d'analyse de réseau sur site et un système d'analyse du trafic que Microsoft vend aux entreprises afin de protéger les réseaux internes contre les attaques malveillantes déclenchées de l'intérieur.

L'alerte a montré que le compte d'utilisateur compromis répliquait le service Active Directory d'Avast, une carte numérique efficace du réseau interne de la société.
Avast laisse les pirates informatiques se déplacer librement pendant deux semaines pour suivre leurs intentions

Baloo a déclaré qu'Avast avait délibérément laissé le profil VPN compromis actif, dans le but de suivre l'attaquant et d'observer ses actions.

Cela a duré jusqu'au 15 octobre, date à laquelle la société a terminé l'audit des versions précédentes de CCleaner et a publié une nouvelle mise à jour propre.

Parallèlement, Avast a également modifié le certificat numérique utilisé pour signer les mises à jour de CCleaner. La nouvelle mise à jour a été signée avec un nouveau certificat numérique et la société a révoqué le précédent certificat utilisé pour signer les anciennes versions de CCleaner. Il l'a fait pour empêcher les attaquants de l'utiliser pour signer de fausses mises à jour de CCleaner, au cas où les pirates informatiques parviendraient à mettre la main sur l'ancien certificat lors de la récente intrusion.

La dernière étape consistait à réinitialiser toutes les informations d'identification des employés.

"Après avoir pris toutes ces précautions, nous sommes certains de dire que nos utilisateurs de CCleaner sont protégés et non affectés", a déclaré Baloo.

Le fabricant d’antivirus a annoncé qu’il enquêtait actuellement sur cet incident avec l’agence de renseignement tchèque, le service d’information de sécurité (BIS), la division de la cybersécurité des forces de police tchèques locales et une équipe de criminalistique externe.

Avast a respectueusement refusé de fournir des détails supplémentaires à d'autres questions que ZDNet a envoyées à la société aujourd'hui, citant l'enquête judiciaire. BIS a également confirmé aujourd'hui l'enquête sur le piratage d'Avast, affirmant que l'attaque avait été menée par des pirates chinois.

Avast a déclaré qu'il n'y avait aucune preuve à ce moment pour suggérer que cette attaque a été causée par le même groupe de hacker chinois qui a violé son infrastructure en 2017; toutefois, la société a souligné que l'intrusion avait été perpétrée par un acteur de menace expérimenté.

"D'après les informations que nous avons recueillies jusqu'à présent, il est clair qu'il s'agissait d'une tentative extrêmement sophistiquée à notre encontre visant à ne laisser aucune trace de l'intrus ni de son objectif, et que l'acteur progressait avec une prudence exceptionnelle pour ne être détecté ", a déclaré Baloo.

L'enquête est en cours et la société a promis d'autres mises à jour.

Auparavant, Avast avait reçu des éloges pour la franchise dont il avait fait preuve en enquêtant sur le piratage CCleaner de 2017, publiant plusieurs mises à jour sur l'incident, alors qu'il continuait à en apprendre davantage sur la violation de 2017 dans les mois suivants [1, 2, 3, 4].

Le piratage 2017 de CCleaner a eu lieu avant qu'Avast ait acheté Piriform, la société derrière CCleaner. Les pirates informatiques ont violé le réseau de Piriform via un compte TeamViewer et ont introduit des logiciels malveillants dans CCleaner. Les assaillants, soupçonnés d’être un groupe de pirates informatiques commandités par l’État chinois, ont introduit un logiciel malveillant qui ne téléchargerait une charge utile que lorsque CCleaner serait installé sur le réseau d’une grande entreprise. La liste des cibles incluait Cisco, Microsoft, Google, NEC et de nombreuses autres grandes entreprises. Avast a déclaré que 2,27 millions d'utilisateurs avaient téléchargé le logiciel contaminé CCleaner en 2017; 1 646 536 ordinateurs ont été infectés par le cheval de Troie Floxif au premier stade qui a recherché des cibles de grande valeur; mais seuls 40 ordinateurs ont reçu le cheval de Troie du deuxième étage, une porte dérobée plus puissante.

Avast a déclaré à ZDNet qu'il n'envisageait pas de supprimer CCleaner à la lumière des deux attaques visant l'infrastructure de l'application.


REF.:

Aucun commentaire: