image

Aanvaller kreeg toegang tot netwerk antivirusbedrijf Avast

maandag 21 oktober 2019, 10:08 door Redactie, 15 reacties
Laatst bijgewerkt: 21-10-2019, 16:37

Een onbekende aanvaller is erin geslaagd toegang te krijgen tot het netwerk van antivirusbedrijf Avast, mogelijk in een poging om het programma CCleaner van malware te voorzien, zo heeft de virusbestrijder net bekendgemaakt. Op 23 september ontdekte Avast verdachte activiteit op het eigen netwerk.

Er volgde een onderzoek waarbij de Tsjechische inlichtingendienst en politie betrokken waren. Avast is een Tsjechisch bedrijf. Het onderzoek liet zien dat een actie van een gebruiker die in eerste instantie als false positive was afgedaan, door een aanvaller was uitgevoerd. De aanvaller had met de gegevens van deze gebruiker via een tijdelijk vpn-profiel ingelogd dat door Avast zelf was aangemaakt. Dit profiel vereiste geen tweefactorauthenticatie en stond onbedoeld nog ingeschakeld.

De gecompromitteerde gebruiker had geen domeinbeheerdersrechten. De aanvaller wist echter zijn rechten te verhogen, zodat wel domeinbeheerder werd. Verder onderzoek wees uit dat de aanvaller sinds 14 mei van dit jaar had geprobeerd om via het Avast-vpn toegang tot het netwerk van het antivirusbedrijf te krijgen. Ook werd duidelijk dat inloggegevens van meerdere gebruikers waren gecompromitteerd.

CCleaner

Avast vermoedt het programma CCleaner het doelwit van de aanvaller was. CCleaner is software om cookies, tijdelijke bestanden, surfgeschiedenis, logbestanden, applicatiedata en andere bestanden mee te verwijderen. De software werd in 2017 door Avast van het softwarebedrijf Pirisoft overgenomen. Kort voor de overname hadden aanvallers Pirisoft gecompromitteerd en een backdoor aan CCleaner toegevoegd. De besmette versie werd door miljoenen mensen gedownload. Via de backdoor werd bij een select aantal bedrijven aanvullende malware geïnstalleerd. Uiteindelijk ontvingen 40 computers deze aanvullende malware. Het ging om systemen van grote techbedrijven zoals Intel, Samsung, Sony, Asus, NEC en de Zuid-Koreaanse telecomaanbieder Chunghwa Telecom.

Na ontdekking van de nieuwe inbraak besloot Avast het uitbrengen van CCleaner-updates te staken en werden eerder uitgebrachte versies op malware gecontroleerd. De virusbestrijder stelt dat het geen kwaadaardige aanpassingen heeft ontdekt. Uit voorzorg werd besloten om een schone update voor CCleaner opnieuw te signeren en via een automatische update uit te brengen. Vervolgens werd het vorige certificaat ingetrokken. Gebruikers zijn dan ook beschermd en niet getroffen, aldus Avast.

De virusbestrijder stelt dat het om een zeer geraffineerde aanval gaat en dat de aanvaller geen sporen wilde achterlaten. Avast is nu bezig om de zichtbaarheid in de eigen netwerken en systemen te vergroten om detectie- en responstijden te verbeteren. Tevens zal het de logbestanden verder onderzoeken om de acties en werkwijze van de aanvaller te achterhalen. De virusbestrijder heeft meer details over de aanval, waaronder ip-adressen, naar eigen zeggen met de securitygemeenschap gedeeld.

Update

De Tsjechische inlichtingendienst BIS stelt in een verklaring dat de geanalyseerde data suggereert dat de aanval uit China afkomstig was en CCleaner als doelwit had.

Reacties (15)
21-10-2019, 10:20 door Anoniem
Het bedrijf achter de anti-virus software die ervoor moet zorgen dat uw computersysteem veilig moet blijven is gehackt.
Ver van weg blijven dus, dit had niet mogen gebeuren... Ze hebben de zaken slecht op orde.
21-10-2019, 11:26 door Anoniem
Door Anoniem:Ze hebben de zaken slecht op orde.

Beter gezegd: wederom niet op orde... Bij de vorige hack werd de "schuld" nog verschoven naar TeamViewer (https://www.security.nl/posting/558778/CCleaner-ontwikkelaar+Piriform+werd+gehackt+via+TeamViewer)die was geinstalleerd op een van de productie systemen, nu was het via hun eigen VPN software.

Dat gecombineerd met het constante verzamelen van (priva) data (https://www.security.nl/posting/572246/Nieuwste+CCleaner+offline+na+ophef+over+verzamelen+van+datavertelt je eigenlijk dat je weg moet blijven van deze zogenaamde gratis software.
21-10-2019, 11:42 door MZi038
Door Anoniem: Het bedrijf achter de anti-virus software die ervoor moet zorgen dat uw computersysteem veilig moet blijven is gehackt.
Ver van weg blijven dus, dit had niet mogen gebeuren... Ze hebben de zaken slecht op orde.

Dit dit is de makkelijke reactie...

Avast geeft in ruime mate openheid over de aanval en hun respons daarop. Het zal mij niet verbazen als zij de meestal uitgebreidere RCA ook vrijgeven (tot op zekere hoogte). Ik vind het voorbeeldig!

Avast en hun concurrenten zijn targets. Natuurlijk worden zij aangevallen en uiteraard lukt het een hacker wel eens een stap verder te komen dan gewenst. Juist bedrijven die nooit iets publiceren of heel vaag blijven moet je wantrouwen, dáár zijn de zaken niet op orde!
21-10-2019, 12:32 door Anoniem
Avast was al in het verleden gewaarschuwd sinds het compromitteren van hun webforum,
dat ze de boel goed in de gaten moesten houden.

Piriform 's CCleaner is na het verwerven door Avast nu al twee keer aangevallen,
Deze keer dus door Petya malcreanten.

Bij Petya moeten we denken aan de Rusland-Ukraine tegenstellingen -
ook in een stad als Praag, de hoofdbasis van avast, is die oppositie niet ver weg.

Lees: https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/
De Me-Doc variant komt uit de Ukraine.

Het woord Petya is de Russische verbastering van het Chinese Pinyin -
een systeem van omzetten van Mandarijn-Chinees in het Latijn,
dus in dit geval geen Chinees voor dummies, maar malware voor dummies in). "
"Mooi ben je, of eigenlijk niet zo mooi?

MBAM en Voodooshield geven nog steeds alerts (voor obfuscator malcode) bij pogingen CCleaner te installeren ,
Wat die alert dan ook waard moge zijn. VirusTotal geeft geen detectie.

Bewijs dat we aan het verliezen zijn van Cybercrime & Co. Interwebz is "holed" big time.
Wat kunnen we aan software en hardware nog in de grond vertrouwen?
Denk hier allemaal eens goed over na.

luntrus
21-10-2019, 12:43 door Anoniem
De wijze waarop Avast hierover communiceert zegt niets over of ze hun beveiliging op orde hebben. Het zegt alleen dat ze er schijnbaar transparant over communiceren.
21-10-2019, 13:06 door Anoniem
Beter gezegd: wederom niet op orde... Bij de vorige hack werd de "schuld" nog verschoven naar TeamViewer (https://www.security.nl/posting/558778/CCleaner-ontwikkelaar+Piriform+werd+gehackt+via+TeamViewer)die was geinstalleerd op een van de productie systemen, nu was het via hun eigen VPN software.

Waren ze dan niet gehacked, via teamviewer ? Of zijn objectieve feiten benoemen en schuld verschuiven hetzelfde ? Hadden ze moeten liegen hierover ?
21-10-2019, 13:10 door Anoniem
Het zegt alleen dat ze er schijnbaar transparant over communiceren.

Voor (sommige) mensen hier is het nooit goed. Wat ze ook doen.
21-10-2019, 13:14 door Patje-RedFan
Door Anoniem: Het bedrijf achter de anti-virus software die ervoor moet zorgen dat uw computersysteem veilig moet blijven is gehackt.
Ver van weg blijven dus, dit had niet mogen gebeuren... Ze hebben de zaken slecht op orde.
Hun forum is ook al eens gehackt geweest in 2014 en ik was toen ook een gebruiker, waar mijn mail adres in stond.... ik krijg nog dagelijks phishingmails door hun schuld en daarom gebruik ik niets meer van avast !!
21-10-2019, 13:18 door MZi038 - Bijgewerkt: 21-10-2019, 13:19
Door Anoniem: De wijze waarop Avast hierover communiceert zegt niets over of ze hun beveiliging op orde hebben. Het zegt alleen dat ze er schijnbaar transparant over communiceren.

In the end gaat het om vertrouwen als je een leverancier van 'security diensten' selecteert. Een bedrijf dat transparant is, vertrouw ik meer dan een bedrijf dat niet communiceert, of er omheen draait.

Een transparant bedrijf dat continu verbetering laat zien is ideaal. Avast is dat voor mij ook nog niet...
21-10-2019, 14:06 door [Account Verwijderd]
Door Patje-RedFan:
Door Anoniem: Het bedrijf achter de anti-virus software die ervoor moet zorgen dat uw computersysteem veilig moet blijven is gehackt.
Ver van weg blijven dus, dit had niet mogen gebeuren... Ze hebben de zaken slecht op orde.
Hun forum is ook al eens gehackt geweest in 2014 en ik was toen ook een gebruiker, waar mijn mail adres in stond.... ik krijg nog dagelijks phishingmails door hun schuld en daarom gebruik ik niets meer van avast !!

Er waren "No pastes" Ik behoorde ook tot die groep en dit is de melding die ik nu nog krijg op HaveIbeenpowned.com:

Oh no — pwned!
Pwned on 1 breached site and found no pastes (subscribe to search sensitive breaches)
Avast: In May 2014, the Avast anti-virus forum was hacked and 423k member records were exposed. The Simple Machines Based forum included usernames, emails and password hashes.

Compromised data: Email addresses, Passwords, Usernames

Ik ben dus benieuwd naar de oorzaak van waarom jij zeker weet fishingmails te ontvangen door de breach bij Avast.
21-10-2019, 14:09 door _R0N_
Door Anoniem: Het bedrijf achter de anti-virus software die ervoor moet zorgen dat uw computersysteem veilig moet blijven is gehackt.
Ver van weg blijven dus, dit had niet mogen gebeuren... Ze hebben de zaken slecht op orde.

Denk eerder dat je het van de andere AV bedrijven niet zou horen.
Avast is er open over en dat is juist goed.
21-10-2019, 14:21 door Anoniem
Door MZi038:
Door Anoniem: De wijze waarop Avast hierover communiceert zegt niets over of ze hun beveiliging op orde hebben. Het zegt alleen dat ze er schijnbaar transparant over communiceren.

In the end gaat het om vertrouwen als je een leverancier van 'security diensten' selecteert. Een bedrijf dat transparant is, vertrouw ik meer dan een bedrijf dat niet communiceert, of er omheen draait.

Een transparant bedrijf dat continu verbetering laat zien is ideaal. Avast is dat voor mij ook nog niet...

In eerste instantie gaat het erom wat je weet van je leverancier. Wat je niet weet zal je moeten accepteren op basis van vertrouwen. We weten nu dat Avast schijnbaar transparant communiceert. Over de rest weten we nog niets. Nou ja, dat ze gehackt zijn 'weten' we ook.
21-10-2019, 18:27 door Patje-RedFan
Door Wilbert Wintergaard:
Door Patje-RedFan:
Door Anoniem: Het bedrijf achter de anti-virus software die ervoor moet zorgen dat uw computersysteem veilig moet blijven is gehackt.
Ver van weg blijven dus, dit had niet mogen gebeuren... Ze hebben de zaken slecht op orde.
Hun forum is ook al eens gehackt geweest in 2014 en ik was toen ook een gebruiker, waar mijn mail adres in stond.... ik krijg nog dagelijks phishingmails door hun schuld en daarom gebruik ik niets meer van avast !!

Er waren "No pastes" Ik behoorde ook tot die groep en dit is de melding die ik nu nog krijg op HaveIbeenpowned.com:

Oh no — pwned!
Pwned on 1 breached site and found no pastes (subscribe to search sensitive breaches)
Avast: In May 2014, the Avast anti-virus forum was hacked and 423k member records were exposed. The Simple Machines Based forum included usernames, emails and password hashes.

Compromised data: Email addresses, Passwords, Usernames

Ik ben dus benieuwd naar de oorzaak van waarom jij zeker weet fishingmails te ontvangen door de breach bij Avast.
Omdat ik toen normale mails kreeg en sedert de hack niets anders dan rommel en valse reclame (Phishing) ....
21-10-2019, 19:14 door Anoniem
Je moet eigeniljk zo denken: elke software die populair is wordt vroeg of laat gehackt. Why? Hoe meer gebruikers, hoe meer slachttoffers er in 1 klap dat de hacker kan maken, waardoor hackers op die software ook het meest op zullen richten. Mijn raad: blijf weg van populaire software en gebruik betrouwbare alternatieven.
21-10-2019, 22:51 door Anoniem
Maar er is ook nog zoiets als de mono-cultuur.

Avast als av oplossing heeft een vrijwel 100% proliferatie bijvoorbeeld in Brazilië.
Daar wordt dan ook alle malcode eerst op uitgestest, om bij avast onder de radar te gaan.

Dan is er nog het "not in my own backyard" principe.

Russische malcreanten opereren vanwege de verhoogde pakkans
en mindere overheidstolerantie niet binnen het gebied van de Russsische Federatie.

Voor anoniem van 19:14. Software signering is een goede preventie tegen malversaties.
Dus dit had gewoon gesigneerd moeten zijn voor de upload.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.