Den førende Anti-Virus-softwareproducent Avast er blevet hacket af ukendte cyber-spiongrupper, der ved hjælp af kompromitterede legitimationsoplysninger fik intern netværksadgang gennem deres egen VPN.
Avast er et af de mest velkendte cybersecurity-selskaber, men det sejler tydeligvis lidt med sikkerheden på hjemmebanen. Avast udvikler forskellige typer sikkerhedssoftware, herunder antivirus, VPN, Endpoint Security, med vidre til Microsoft Windows, Android, iOS og macOS.
Selvom at sikkerhedsbrudet fandt sted i marts 2019, blev det først klart for sikkerhedseksperterne hos Avast den 23. september 2019, her havde angribere fået adgang til det interne netværk gennem succesfuld privilegering og eskaleringsangreb der førte til domæneadministratorprivilegier.
Svindelerne var sluppet ind gennem Avasts egen VPN
Yderligere undersøgelse afslører, at angriberne forsøgte at få adgang gennem Avasts egen VPN, og forbindelsen blev oprettet fra en offentlig IP, der er vært fra Storbritannien.
”I henhold til Avast-rapporten fandt vi, at det interne netværk blev faciliteret gennem kompromitterede legitimationsoplysninger oprettet med en midlertidig VPN-profil, der fejlagtigt var blevet aktiveret og ikke krævede 2FA.” forklarer Avast.
Avast samarbejder nu med det tjekkiske efterretningsbureau, Bezpečnostní informační služba (BIS), og et eksternt kriminalteknisk team for at undersøge yderligere hvordan dette sikkerhedsbrud kan havde fundet sted og hvem der står bag. Angrebet på Avast-netværket var ekstremt sofistikeret, og angriberen’s vigtigste hensigt var ikke at efterlade spor efter den indtrængende eller deres formål. Trusselsaktørerne indledte også dette angreb omhyggeligt for at sikre sig, at der ikke blev efterladt spor i efterangrebet og anvendte en række teknikker til at undgå detektering.