Nieuws Aanvaller kreeg toegang tot netwerk Avast!

Black Tiger

Netwerk hobbyist. :)
Een onbekende aanvaller is erin geslaagd toegang te krijgen tot het netwerk van antivirusbedrijf Avast, mogelijk in een poging om het programma CCleaner van malware te voorzien, zo heeft de virusbestrijder net bekendgemaakt. Op 23 september ontdekte Avast verdachte activiteit op het eigen netwerk.

Er volgde een onderzoek waarbij de Tsjechische inlichtingendienst en politie betrokken waren. Avast is een Tsjechisch bedrijf. Het onderzoek liet zien dat een actie van een gebruiker die in eerste instantie als false positive was afgedaan, door een aanvaller was uitgevoerd. De aanvaller had met de gegevens van deze gebruiker via een tijdelijk vpn-profiel ingelogd dat door Avast zelf was aangemaakt. Dit profiel vereiste geen tweefactorauthenticatie en stond onbedoeld nog ingeschakeld.

De gecompromitteerde gebruiker had geen domeinbeheerdersrechten. De aanvaller wist echter zijn rechten te verhogen, zodat wel domeinbeheerder werd. Verder onderzoek wees uit dat de aanvaller sinds 14 mei van dit jaar had geprobeerd om via het Avast-vpn toegang tot het netwerk van het antivirusbedrijf te krijgen. Ook werd duidelijk dat inloggegevens van meerdere gebruikers waren gecompromitteerd.

CCleaner

Avast vermoedt het programma CCleaner het doelwit van de aanvaller was. CCleaner is software om cookies, tijdelijke bestanden, surfgeschiedenis, logbestanden, applicatiedata en andere bestanden mee te verwijderen. De software werd in 2017 door Avast van het softwarebedrijf Pirisoft overgenomen. Kort voor de overname hadden aanvallers Pirisoft gecompromitteerd en een backdoor aan CCleaner toegevoegd. De besmette versie werd door miljoenen mensen gedownload. Via de backdoor werd bij een select aantal bedrijven aanvullende malware geïnstalleerd. Uiteindelijk ontvingen 40 computers deze aanvullende malware. Het ging om systemen van grote techbedrijven zoals Intel, Samsung, Sony, Asus, NEC en de Zuid-Koreaanse telecomaanbieder Chunghwa Telecom.

Na ontdekking van de nieuwe inbraak besloot Avast het uitbrengen van CCleaner-updates te staken en werden eerder uitgebrachte versies op malware gecontroleerd. De virusbestrijder stelt dat het geen kwaadaardige aanpassingen heeft ontdekt. Uit voorzorg werd besloten om een schone update voor CCleaner opnieuw te signeren en via een automatische update uit te brengen. Vervolgens werd het vorige certificaat ingetrokken. Gebruikers zijn dan ook beschermd en niet getroffen, aldus Avast.

De virusbestrijder stelt dat het om een zeer geraffineerde aanval gaat en dat de aanvaller geen sporen wilde achterlaten. Avast is nu bezig om de zichtbaarheid in de eigen netwerken en systemen te vergroten om detectie- en responstijden te verbeteren. Tevens zal het de logbestanden verder onderzoeken om de acties en werkwijze van de aanvaller te achterhalen. De virusbestrijder heeft meer details over de aanval, waaronder ip-adressen, naar eigen zeggen met de securitygemeenschap gedeeld.

@Bron: security.nl
 
Laatst bewerkt door een moderator:

Rubensky

Moderator
Team lid
Ik vind het altijd weer bewonderenswaardig hoeveel rechten die mensen zich kunnen verschaffen en hoelang ze ongestoord hun gang kunnen gaan.
 

Kate1

heks
Eigenlijk is het griezelig! Wat zou het leuk zijn als er eens iemand kans zag om zo'n stel hacker te hacken! Is er niet ergens een om te kopen?
 

Rubensky

Moderator
Team lid
Dat gebeurt ook massaal. Maar Kate, bedenk wel dat de meeste hackers dit werk doen om onze digitale veiligheid te vergroten. Juist door deze lekken te vinden en te melden worden ze gedicht en kan er dus geen misbruik meer van worden gemaakt.
 

Black Tiger

Netwerk hobbyist. :)
Klopt Rubensky, maar dat zijn de goede hackers, die gaan dus niet bedrijven hacken en dan gegevens stelen. De goede hackers testen en melden maar maken geen misbruik.
 

Nieuwste berichten

Bovenaan Onderaan