Hlavní obsah
Logo společnosti Avast. Foto: Avast

Česká antivirová společnost Avast se stala terčem kybernetické špionáže, bezpečnostní experti zachytili neobvyklou aktivitu na přelomu září a října. Ve spolupráci s policí a Bezpečnostní informační službou (BIS) se jim podařilo útok odvrátit.

Logo společnosti Avast. Foto: Avast
Avast se stal terčem sofistikované kyberšpionáže

„Pokus o neúspěšný útok jsme pojmenovali Abiss a jeho vyšetřování stále probíhá, spolupracujeme na něm s policií, bezpečnostními složkami i s širokou kybernetickou komunitou,“ prohlásila bezpečnostní ředitelka Avastu Jaya Baloo.

Právě s ohledem na probíhající vyšetřování nejsou všechny informace o útoku ještě k dispozici. Jisté je nicméně to, že kybernetická špionáž nebyla zaměřena na antivirový program Avast, ale na nástroj pro optimalizaci počítače CCleaner, který do portfolia společnosti také patří.

Podezřelé chování zachytili na konci září

Konkrétně bezpečnostní experti 23. září 2019 v síti Avastu zjistili podezřelé chování. „Okamžitě jsme zahájili rozsáhlé vyšetřování, jehož součástí byla i spolupráce s českou Bezpečnostní informační službou (BIS), s divizí kybernetické bezpečnosti české policie a s externím forenzním týmem. Cílem bylo získat pro naši snahu dodatečné nástroje a také prověřit důkazy, které jsme shromáždili,“ podotkla Baloo.

„Ukázalo se, že uživatel, jehož přihlašovací údaje byly zjevně zcizeny a přidruženy k IP adrese, neměl oprávnění správce domény, ale úspěšně navýšil svá oprávnění, a tak se mu podařilo získat přístupy správce domény. Připojení se uskutečnilo z veřejné IP adresy z hostingu M247 ve Velké Británii, útočník ale použil i další výstupní body stejného VPN poskytovatele,“ konstatovala bezpečnostní ředitelka.

CCleaner

Foto: archív tvůrců

Podle ní vyšetřování ukázalo, že útočník se pokoušel získat přístup k síti prostřednictvím VPN Avastu již 14. května 2019. Po dalším rozboru vyšlo najevo, že interní síť byla přístupná prostřednictvím zcizených přihlašovacích údajů přes dočasný VPN profil, který zůstal chybně povolený a nevyžadoval dvoufázové ověření.

„Abychom mohli sledovat aktéra, nechali jsme dočasný VPN profil otevřený a pokračovali v monitorování a vyšetřování přístupů procházejících tímto profilem až do chvíle, kdy jsme byli připraveni zjednat nápravu,“ uvedla Baloo.

Uživatelé nebyli útokem nijak dotčeni

Podle ní bezpečnostní experti pozastavili vydávání CCleaneru a začali na konci září kontrolovat jeho předchozí verze, aby zjistili, zda nebyly manipulovány – tedy zda do nich nebyl vložen nějaký škodlivý kód. „Bylo jasné, že jakmile vydáme novou verzi CCleaneru, tak útočníci poznají, že o nich víme,“ konstatovala bezpečnostní ředitelka.

Zdůraznila nicméně, že uživatelé CCleaneru jsou v současnosti chráněni a útokem díky včasnému zásahu nebyli nijak dotčeni. „Z poznatků, které jsme dosud shromáždili, je zřejmé, že se jednalo o nesmírně sofistikovaný pokus namířený proti nám. Aktér postupoval s mimořádnou opatrností a snažil se nezanechat stopy po sobě ani po účelu celé akce,“ uzavřela Baloo.

yknivoNumanzeSaNyknalC

Výběr článků