Česká spravodajská služba pomáhala Avastu, mohlo ísť o útok skupiny Winnti

Česká spravodajská služba pomáhala Avastu, mohlo ísť o útok skupiny Winnti

Avast tvrdí, že útok mal pod kontrolou a jeho zákazníci neboli ohrození.

Česká Bezpečnostná a informačná služba (BIS) v spolupráci so zahraničnými partnermi a spoločnosťou Avast zabránila útoku na jej produkty. Cieľom bol populárny optimalizačný nástroj CCleaner.

BIS odhalila prípravu na útok koncom minulého mesiaca. Analýza dát nasvedčuje, že šlo o páchateľa z Číny, ktorý chcel napadnutím dodávateľského reťazca infikovať stámilióny používateľov tohto nástroja. 

„Pri tejto akcii sa nám spoločne s Avastom podarilo zabrániť úniku dát miliónov českých občanov a tisícky dôležitých inštitúcií, ktoré ich produkty používajú,“ priblížil riaditeľ BIS Michal Koudelka.

Podľa Avastu útok umožnila krádež prihlasovacích údajov do VPN siete spoločnosti. Tento dočasný profil ostal omylom povolený a pri prihlasovaní nevyžadoval dvojfázové overenie. 

Spoločnosť sa namiesto zablokovania účtu rozhodla ponechať ho naďalej otvorený, aby mohla sledovať postupy útočníka. Tomu sa podarilo preniknúť do internej siete zneužitím ďalších ukradnutých údajov a postupne rozšíriť svoje práva až na správcu domény, kde replikoval adresáre. 

„Súbežne s naším monitorovaním a vyšetrovaním sme prijímali proaktívne opatrenia na ochranu našich používateľov a kompletne sme odizolovali prostredie, v ktorom zostavujeme produkty a vydávame aktualizácie.“ 

Avast medzičasom pozastavil aktualizáciu nástroja CCleaner kvôli kontrole predchádzajúcich verzií. Automatickú aktualizáciu produktu spolu so zrušením predchádzajúceho certifikátu vydal 15. októbra. Tvrdí, že zákazníci neboli vďaka včasnej reakcii zasiahnutí. 

Na možné zneužitie VPN účtu a prienik do siete Avastu upozornila začiatkom októbra aj bezpečnostná platforma Microsoft Advanced Threat Analytics, ktorá chráni podniky pred pokročilými hrozbami. Vtedy však výstrahu označili za falošný poplach.

Podobný scenár pred dvoma rokmi

Nástroj CCleaner sa stal terčom podobného útoku už v roku 2017. Infikovaný softvér vtedy zhromažďoval a preposielal informácie o názve počítača, zozname nainštalovaných programov a prebiehajúcich procesov či IP a MAC adrese. Rovnako ako vtedy, ani dnes nechce Avast špekulovať o totožnosti útočníka a celú akciu nazýva len „Abiss“. 

Najnovší výskum spoločnosti ESET však poodhaľuje možné spojenie s aktérom známym ako Winnti Group. Podľa expertov sa nástroje a techniky tejto skupiny použité pri minuloročných útokoch na herných vývojárov z Ázie veľmi podobajú na staršie supply-chain útoky, okrem iného aj proti CCleaner v roku 2017.

Podľa žaloby, ktorú americkí prokurátori podali v roku 2018 v súvislosti s útokmi na americké spoločnosti, stáli za distribúciou malvéru Winnti práve čínski hekeri.

(VK)