Злоумышленники вновь попытались внедрить вредоносный код в CCleaner

Киберпреступники взломали внутреннюю сеть чешской компании Avast, скомпрометировав VPN-профиль ее сотрудника, который не был защищен с помощью многофакторной аутентификации. По мнению компании, целью атаки было внедрение вредоносного программного обеспечения в программу CCleaner. Атака была обнаружена 23 сентября нынешнего года, однако злоумышленники пытались получить доступ к сети VPN еще 14 мая.

«У пользователя, чьи учетные данные были явно скомпрометированы и связаны с IP-адресом, не было привилегий администратора. Однако благодаря успешному повышению привилегий, преступникам удалось получить права администратора домена», — сообщила директор по информационной безопасности Avast Джая Балу (Jaya Baloo).

Компания намеренно оставила скомпрометированный VPN-профиль активным, чтобы отслеживать злоумышленника и наблюдать за его действиями. Слежка продолжалось до 15 октября, когда компания завершила аудит предыдущих выпусков CCleaner и выпустила новое обновление. В то же время Avast изменила цифровой сертификат, который использовался для подписи обновлений CCleaner. Свежий выпуск был подписан новым цифровым сертификатом, а предыдущий, использовавшийся для подписи старых версий CCleaner, — отозван. Таким образом компания предотвратила попытки злоумышленников подписать поддельные обновления CCleaner.

В настоящее время компания расследует инцидент, однако пока нет никаких доказательств того, что это нападение было совершено той же группой, которая нарушила ее инфраструктуру два года назад. Напомним, в сентябре 2017 года в популярной утилите CCleaner от компании Avast был обнаружен вредоносный код. Бэкдор позволял злоумышленникам загружать дополнительное вредоносное ПО, например, программы-вымогатели или кейлоггеры. Как полагают эксперты, к атаке была причастна китайская кибергруппировка Axiom.