نفوذ هکرها به شبکه‌ی داخلی شرکت امنیتی Avast

دسته بندی ها : اخبار ۱۵ آبان ۱۳۹۸ فایزه اشرفیان اشرفیان 10 بازدید

سازنده آنتی ویروس از کشور چک از حمله دوم با هدف به خطر انداختن نسخه‌های CCleaner خبر داد.

تولید کننده نرم‌افزار امنیت سایبری Avast کشور چک یک نقض امنیتی را آشکار کرد که شبکه داخلی آن را تحت تأثیر قرار می‌داد.

در بیانیه‌ای که امروز منتشر شد، این شرکت اظهار داشت که معتقد است هدف این حمله وارد کردن بدافزار در نرم افزار CCleaner است، مشابه حادثه CCleaner در سال ۲۰۱۷ است.

Avast گفت که علت وقوع این نقض این است که مهاجم از اکانت VPN یک کارمند استفاده کرده و به یک حساب کاربری که با استفاده از روش تأیید هویتی چند مرحله­ای محافظت نمی‌شد، دسترسی پیدا کرده است.

این حمله در ۲۳ سپتامبر کشف شد، اما Avast گفت شواهدی مبنی بر حمله مهاجمان که زیرساخت‌های Avast را هدف قرار داده بودند پیدا کرده است که به ۱۴ می امسال برمی‌گردند.

Jaya Baloo، مدیر ارشد امنیت اطلاعات (CISO) Avast گفت: « کاربری که اکانتش ظاهرا به خطر افتاده بود […]، از امتیازات سرپرست دامنه برخوردار نبوده است. با این وجود، با یک افزایش موفقیت‌آمیز سطح دسترسی، این مهاجم موفق شد امتیازات سرپرست دامنه را بدست آورد. »

Baloo امروز در یک ایمیل به ZDNet اظهار داشت: این افزایش سطح دسترسی ناگهانی باعث شده است که این شرکت تحقیقات را شروع کند.

سرانجام کارمندان هشدارهای امنیتی دیگری را در داشبورد ATA آواست مشاهده کردند که مهندسان سابقاً آن‌ها را نادیده می‌گرفتند، و تصور می‌شد که false positives هستند. ATA مخفف عبارت Microsoft Advanced Threat Analytics است؛ یک موتور تجزیه شبکه و سیستم تجزیه و تحلیل ترافیک که مایکروسافت به منظور محافظت از شبکه‌های داخلی در برابر حملات مخرب از داخل شبکه، ایجاد کرده است.

این هشدار نشان داد که حساب کاربری به خطر افتاده، از سرویس دایرکتوری فعال Avast (نقشه دیجیتالی مفید شبکه داخلی شرکت) کپی گرفته است.

Avast به هکرها اجازه داد تا دو هفته آزادانه عمل کنند تا اهداف آن‌ها را پیگردی کند

Baloo گفت که Avast عمداً پروفایل VPN به خطر افتاده را با هدف ردیابی مهاجم و مشاهده اقدامات آنها، فعال نگه داشت.

این عمل تا ۱۵ اکتبر، هنگامی که شرکت حسابرسی نسخه‌های قبلی CCleaner را به پایان رساند، ادامه یافت و یک بروزرسانی جدید را ارائه کرد.

در همان زمان، Avast همچنین گواهی دیجیتال مورد استفاده خود برای امضای به روزرسانی‌های CCleaner را تغییر داد. بروزرسانی جدید با گواهی دیجیتالی جدید امضا شد و این شرکت گواهی قبلی را که برای امضای نسخه‌های قدیمی CCleaner استفاده شده بود، ابطال کرد. این اقدام، جهت جلوگیری از سوءاستفاده مهاجمان برای امضای بروزرسانی‌های جعلی CCleaner صورت گرفت، چرا که هکرها در طی حمله اخیر موفق شدند به گواهی قدیمی دست یابند.

آخرین مرحله تنظیم مجدد کلیه اعتبارات کارمندان بود.

Baloo گفت: « در پی این اقدامات پیش گیرانه، با اطمینان می‌گوییم که کاربران CCleaner تحت محافظت هستند و آلوده نشده‌اند. »

این شرکت تولید کننده‌ی آنتی ویروس اظهار داشت که هم اکنون با آژانس اطلاعاتی چک، سرویس اطلاعات امنیتی (BIS)، بخش امنیت سایبری پلیس محلی چک و یک تیم جرم شناسی دیگر در حال بررسی این حادثه است.

Avast با احترام از ارائه جزئیات بیشتر به سایر سؤالات ZDNet که با استناد به تحقیقات قانونی به این شرکت ارسال شده بود، خودداری کرد. BIS همچنین تحقیقات مربوط به هک امروز Avast را تأیید کرد.

با این حال این شرکت گفت که هیچ شواهدی در حال حاضر وجود ندارد که نشان دهد این حمله توسط همان گروهی انجام شده است که زیرساخت‌های شرکت را در سال ۲۰۱۷ مورد حمله قرار دادند؛ هرچند، این شرکت خاطرنشان کرد که این حمله توسط یک عامل تهدیدکننده با تجربه انجام شده است.

Baloo گفت: « از مشاهداتی که تاکنون داشته‌ایم، مشخص است که این اقدام کاملاً پیچیده‌ای علیه ما بود که قصد نداشت اثری از متجاوز یا هدف آن‌ها باقی بگذارد و با احتیاط فوق‌العاده‌ای در حال پیشرفت بود تا شناخته نشود. »

تحقیقات در حال انجام است و این شرکت قول به روزرسانی های بیشتری را داده است.

Avast پیش از این ضمن رسیدگی به هک CCleaner 2017، با انتشار چندین به روزرسانی در پی بدست آوردن اطلاعات بیشتری درباره نقص مربوط به سال ۲۰۱۷ [۱ ، ۲ ، ۳ ، ۴] مورد توجه قرار گرفت.

هک CCleaner  در سال ۲۰۱۷، پیش از خرید Piriform (شرکت دارنده‌ی CCleaner) توسط Avast، اتفاق افتاد. هکرها با استفاده از یک حساب TeamViewer، در شبکه Piriform رخنه کردند و بدافزارها را وارد CCleaner کردند. مهاجمان که گمان می‌رود گروهی از هکرهای تحت حمایت دولت چین باشند، بدافزارهایی را جاسازی کردند که تنها با نصب CCleaner روی شبکه یک شرکت بزرگ، یک payload دوم را بارگیری می‌کند. لیست اهداف شامل سیسکو، مایکروسافت، گوگل، NEC و بسیاری از شرکت‌های بزرگ دیگر بود. Avast گفت که ۲.۲۷ میلیون کاربر در سال ۲۰۱۷ نرم افزار آلوده‌ی CCleaner را دانلود کرده‌اند؛ ۱۶۴۶.۵۳۶ رایانه با تروجان مرحله اول Floxif که اهداف مهم اسکن شده بود، آلوده شدند؛ اما فقط ۴۰ رایانه یک تروجان مرحله دوم یعنی یک Backdoor قدرتمندتر را دریافت کرده بوند.

Avast به ZDNet گفت که با وجود دو حمله‌ای که زیرساخت‌های برنامه را هدف قرار داده‌اند، هیچ برنامه‌ای برای متوقف ساختن CCleaner ندارد.

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

لینک کوتاه :

عضویت در خبرنامه ویژه مشتریان سیگما پلاس

با عضویت در خبرنامه ویژه سیگما پلاس از آخرین جشنواره های سایت باخبر شوید!