Avast ha rivelato una violazione della sicurezza che ha interessato la sua rete interna, gli hacker hanno usato un profilo VPN compromesso
La storia che ci sto per raccontarvi deve essere un monito per tutti noi in merito alle capacità degli attaccanti che quotidianamente minacciano le nostre imprese.
La società di sicurezza Avast ha rivelato in questi giorno una violazione della sicurezza che ha avuto un impatto sulla sua rete interna, secondo una dichiarazione resa pubblica dalla società, l’intento degli hacker era di effettuare un attacco alla catena di approvvigionamento, o supply chain attack.
Un attacco alla supply chain è estremamente complesso e mira a compromette il processo di rilascio o aggiornamento di un software. Gli attaccanti compromettono uno dei sistemi coinvolti nel processo introducendo codici malevoli che saranno quindi distribuiti attraverso il canale ufficiale a tutti gli ignari utenti.
Nel caso specifico gli attaccanti hanno tentato di iniettare un malware all’interno del software CCleaner, un attacco alla supply chain simile a quello che ha avuto colpito la stessa azienda nel 2017 .
L’attacco è stato individuato il 23 settembre, quando gli esperti di Avast hanno notato comportamenti sospetti sulla rete interna. Le successive indagini hanno coinvolto l’agenzia di intelligence ceca, il Security Information Service (BIS), e la divisione deputata alla cyber security della polizia locale, oltre ad e un team di investigatori esterni.
L’investigazione ha rivelato che gli hacker hanno compromesso un account VPN per accedere alla rete interna dell’azienda. L’account non aveva i privilegi di amministratore di dominio, quindi gli attaccanti sono riusciti in una operazione di privilege escalation per acquisire privilegi necessari a condurre l’attacco.
Avast ha sottolineato che gli hacker utilizzavano credenziali compromesse attraverso un profilo VPN temporaneo che non richiedeva il doppio fattore di autenticazione (2FA).
“L’utente, le cui credenziali erano apparentemente compromesse e associate all’IP, non aveva i privilegi di amministratore di dominio. Tuttavia, attraverso una escalation di privilegi riuscita, l’attore è riuscito a ottenere i privilegi di amministratore di dominio. La connessione è stata stabilita da un IP pubblico ospitato al di fuori del Regno Unito e abbiamo stabilito che l’attaccante ha utilizzato anche altri endpoint attraverso lo stesso provider VPN ” si legge nella dichiarazione pubblicata da Avast.
L’analisi degli IP esterni utilizzati dagli aggressori per connettersi attraverso l’account VPN ha rivelato che gli attaccanti avevano tentato di accedere alla rete attraverso la VPN già dal 14 maggio.
Nel tentativo di tracciare gli aggressori, Avast non ha immediatamente chiuso l’account VPN temporaneo utilizzato per entrare nella sua rete ed ha monitorato l’accesso alla rete interna fino al 15 ottobre,
“Anche se credevamo che CCleaner fosse il probabile bersaglio di un attacco alla supply chain, come nel caso della violazione di CCleaner del 2017, abbiamo adottato più ampie misure di bonifica”, continua la dichiarazione rilasciata dall’azienda.
Avast ha adottato le seguenti misure per mitigare l’incidente:
- Il 25 settembre, Avast ha il rilascio delle future versioni di CCleaner e ha iniziato a controllare le versioni precedenti di CCleaner.
- La società ha nuovamente firmato digitalmente un pacchetto di aggiornamento ‘pulito’ del prodotto e lo ha inviato agli utenti tramite un aggiornamento automatico il 15 ottobre.
- La società ha revocato il certificato digitale utilizzato in precedenza.
Al momento della stesura di questo documento, non è possibile determinare se questo attacco fosse collegato a quello verificatosi nel 2017.
“Avendo preso tutte queste precauzioni, siamo certi di dire che gli utenti del nostro CCleaner siano protetti ed il software inalterato “, conclude la dichiarazione.
“Dalle intuizioni che abbiamo raccolto finora, è chiaro che si è trattato di un tentativo estremamente sofisticato contro di noi che aveva l’intenzione di non lasciare tracce e che l’attaccante stava procedendo con eccezionale cautela per non essere scoperto. Non sappiamo se l’attaccante è lo stesso dell’intrusione verificatasi nel 2017, e probabilmente non lo sapremo mai con certezza, quindi abbiamo chiamato questo tentativo “Abiss”. ”
L’azienda, insieme alle forze dell’ordine, sta ancora indagando sull’incidente.
Questo caso dimostra che nessuno è completamente al sicuro, paradossalmente un prodotto concepito per la protezione degli utenti potrebbe essere utilizzato come vettore di attacco. Attacchi di supply chain sono in aumento, il loro livello di complessità fa si che ci si trovi spesso dinanzi ad attaccanti di tipo nation-state o di sindacati criminali con elevate capacità.
Si suggerisce alle imprese di prestare particolare attenzione ai processi di aggiornamento e distribuzione dei propri software, onde evitare di soffrire attacchi come quello descritto in questo post.
