Tech

Hackeři napadli antivirového giganta Avast. V jeho síti mohli dělat cokoli

Hackeři napadli antivirového giganta Avast. V jeho síti mohli dělat cokoli

Zatím neznámım a podle všeho velmi zkušenım hackerům se podařilo napadnout interní síť antivirové společnosti Avast. Začátky pokusů o útok se expertům Avastu podařilo zpětně vystopovat až do 14. května tohoto roku. Útok samotnı však byl odhalen až 23. září.

Hackeři zneužili přístupová práva jednoho ze zaměstnanců. Jejich záměrem pravděpodobně bylo infikovat malwarem (škodlivım softwarem) populární utilitku CCleaner, kterou Avast od roku 2017 vlastní.

Naposledy měli útočníci přístup do sítě firmy minulı tıden v úterı 15. října. To už však zcela pod dohledem vıvojářů Avastu, kteří jim záměrně nechali otevřená dvířka, aby zjistili jejich záměry. Tak alespoň průběh útoku líčí šéfka zabezpečení informačních technologií Jaya Baloo.

Bezpečnost uživatelů produktů Avastu během útoku nebyla podle vyjádření společnosti ohrožena: „Souběžně s naším monitorováním a vyšetřováním jsme prováděli proaktivní opatření na ochranu našich uživatelů a kompletně jsme odizolovali prostředí, ve kterém sestavujeme produkty a vydáváme aktualizace,“ tvrdí Baloo.

Co se vlastně stalo? Útočníci si uvnitř mohli dělat cokoliv

Podezřelé chování v interní síti zjistili u Avastu 23. září 2019. Někdo z interní adresy replikoval adresáře. Podle vyjádření firmy ihned začalo rozsáhlé vyšetřování, jehož součástí byla i spolupráce s českou Bezpečnostní informační službou (BIS), s divizí kybernetické bezpečnosti české policie a s externím forenzním tımem.

Útočníci napadli účet jednoho ze zaměstnanců firmy, respektive dočasnı účet k VPN přístupu do sítě firmy. Ten opomenutím nevyžadoval dvoustupňovou autentizaci, takže byl velmi jednoduše zranitelnı. Jakmile se protáhli touto skulinou, obsadili zmiňovanı zaměstnaneckı účet. Ten sice neměl administrátorská (tedy ta nejvyšší) práva, ale hackerům se je podařilo získat.

V tu chvíli si mohli jako správci dělat uvnitř sítě Avastu prakticky cokoliv. Měnit práva ostatních uživatelů, změnit jim hesla, znepřístupnit, nebo naopak zpřístupnit jim určité sekce a funkce. Poprvé se o útok pokoušeli už 14. května. Na zranitelnı účet přistupovali pomocí variace různıch jmen a hesel. Odkud je získali, zatím není jasné. Útok byl veden z veřejné IP adresy ve Velké Británii (z hostingu M24Z).

Cílem útoku byl pravděpodobně optimalizační nástroj CCleaner. Firma proto dva dny po zjištění útoku zastavila vydání nové verze programu a začala kontrolovat i jeho předchozí verze, aby vyloučila, že s nimi bylo manipulováno. „Následně jsme preventivně vydali novou aktualizaci, kterou jsme uživatelům poskytli formou automatické aktualizace 15. října, a také jsme zrušili předchozí certifikát. Po přijetí všech těchto preventivních opatření můžeme s jistotou říci, že uživatelé CCleaneru jsou chráněni a nebyli zasaženi,“ vysvětluje Baloo.

Po dvou letech další velkı útok?

CCleaner shodou okolností napadli pravděpodobně čínští hackeři podporovaní tamní vládou už v roce 2017 (ještě předtím, než jej Avast koupil). Tehdy do něj „nainstalovali zadní vrátka“ pro ovládnutí uživatelova počítače.

Obětí se neměli stát běžní uživatelé, ale obří firmy jako Microsoft, Google, Cisco a další. Teprve v jejich síti by se virus aktivoval stažením jeho druhé části. Celkem bylo v roce 2017 skrze CCleaner infikováno částí viru Floxif přes 1,6 milionu počítačů. Jen do 40 procent z nich se však stáhla ta část softwaru, která otevřela zadní vrátka.

Zatím není zřejmé, zda aktuální útok mají na svědomí ti samí útočníci, tentokrát se jim však program infikovat nepodařilo. Nicméně, už samotnı fakt, že se dostali a nějakı čas pobıvali uvnitř interní sítě etablované antivirové firmy, napovídá, jak schopní jsou.

„Pokus o neúspěšnı útok jsme pojmenovali Abiss a jeho vyšetřování stále probíhá, spolupracujeme na něm s policií, bezpečnostními složkami i širokou kybernetickou komunitou. Deaktivovali a resetovali jsme všechny přístupové údaje našich zaměstnanců. Navíc jsme ještě více zpřísnili zabezpečení našeho síťového prostředí a přípravu vydávání novıch verzí produktů Avast,“ dodala Baloo.

Avast založili v roce 1988 čeští vızkumníci Eduard Kučera a Pavel Baudiš, firma je jedním z průkopníků počítačového zabezpečení. V roce 2016 Avast koupil konkurenční českou antivirovou firmu AVG. Avast je podle objemu tržeb druhou největší antivirovou firmou na světě za americkou společností Symantec. V České republice Avast zaměstnává 1 200 lidí, z toho tři čtvrtiny ve vızkumu a vıvoji.