fbpx
1
 

Avast lucha contra el intento de ciberespionaje

Avast despliega una autodefensa reforzada y una colaboración más amplia en la industria de inteligencia.

Cada vez más, las compañías globales de software son objeto de ataques disruptivos, ciberespionaje e incluso sabotaje a nivel estado-nación, como lo demuestran los numerosos informes de violaciones de datos y ataques en los últimos años. En Avast, trabajamos constantemente para adelantarnos a los ciberdelincuentes y luchar contra los ataques a nuestros usuarios. Por lo tanto, no es tan sorprendente que nosotros mismos podamos ser un objetivo para ellos.

El 23 de septiembre, identificamos comportamientos sospechosos en nuestra red e iniciamos una investigación inmediata y extensa. Esto incluyó colaborar con la agencia de inteligencia checa, el Servicio de Información de Seguridad (BIS), la división de seguridad cibernética de la policía local checa y un equipo forense externo para proporcionar herramientas adicionales para ayudar a nuestros esfuerzos y verificar la evidencia que estábamos recopilando.

La evidencia que reunimos apuntaba a la actividad en MS ATA / VPN el 1 de octubre.  Cuando volvimos a revisar una alerta de MS ATA de una réplica maliciosa de servicios de directorio desde una IP interna que pertenecía a nuestro rango de direcciones VPN, que originalmente se había descartado como un falso positivo. El usuario, cuyas credenciales aparentemente estaban comprometidas y asociadas con la IP, no tenía privilegios de administrador de dominio. Sin embargo, a través de una escalada de privilegios exitosa, el actor logró obtener privilegios de administrador de dominio. La conexión se realizó desde una IP pública alojada fuera del Reino Unido. Determinamos que el atacante también usó otros puntos finales a través del mismo proveedor de VPN.

Se accedió a la red interna

Después de un análisis más detallado, descubrimos que se accedió con éxito a la red interna con credenciales comprometidas a través de un perfil VPN temporal que se mantuvo habilitado por error y no requería 2FA.

El 4 de octubre, observamos esta actividad nuevamente. Las marcas de tiempo para la actividad sospechosa marcada por MS ATA son (todas las veces GMT + 2):

14:00 14 de mayo de 2019

4:36 AM 15 de mayo de 2019

11:06 PM 15 de mayo de 2019

3:35 PM 24 de julio, 2019

3:45 PM 24 de julio, 2019

3:20 PM 11 de septiembre de 2019

11:57 AM 4 oct.2019

Los registros mostraron además que el perfil temporal había sido utilizado por múltiples conjuntos de credenciales de usuario, lo que nos hace creer que estaban sujetos a robo de credenciales.

Para rastrear al actor, dejamos abierto el perfil de VPN temporal. Continuamos monitoreando e investigando todo el acceso que pasa por el perfil hasta que estuviéramos listos para llevar a cabo acciones correctivas.

Paralelamente a nuestro monitoreo e investigación, planificamos y llevamos a cabo medidas proactivas para proteger a nuestros usuarios finales y garantizar la integridad tanto de nuestro entorno de creación de productos como de nuestro proceso de lanzamiento.

Creíamos que CCleaner era el objetivo probable

Aunque creíamos que CCleaner era el objetivo probable de un ataque a la cadena de suministro, como fue el caso en una violación de CCleaner en 2017, lanzamos una red más amplia en nuestras acciones de remediación.

El 25 de septiembre, detuvimos las próximas versiones de CCleaner y comenzamos a verificar las versiones anteriores de CCleaner. Verificamos que no se hubieran realizado modificaciones maliciosas. Como dos medidas preventivas adicionales, primero volvimos a firmar una actualización limpia del producto, y la enviamos a los usuarios a través de una actualización automática el 15 de octubre y, en segundo lugar, revocamos el certificado anterior. Después de tomar todas estas precauciones, podemos decir con confianza que nuestros usuarios de CCleaner están protegidos y no se ven afectados.

Además, continuamos fortaleciendo y protegiendo aún más nuestros entornos para las operaciones comerciales de Avast y la construcción de productos, incluido el restablecimiento de todas las credenciales de los empleados, con más pasos planeados para mejorar la seguridad comercial general en Avast.

De las ideas que hemos reunido hasta ahora, está claro que este fue un intento extremadamente sofisticado contra nosotros. Tenía la intención de no dejar rastros del intruso o su propósito. El actor estaba progresando con una precaución excepcional para no ser detectado. No sabemos si este fue el mismo actor que antes y es probable que nunca lo sepamos con certeza. Lo que hemos llamado a este intento ‘Abiss’.

Continuamos con una revisión exhaustiva del monitoreo y la visibilidad en nuestras redes y sistemas para mejorar nuestros tiempos de detección y respuesta. Además, investigaremos más nuestros registros para revelar los movimientos y el modus operandi del actor de la amenaza junto con la comunidad más amplia de seguridad y cumplimiento de la ley; ya hemos compartido indicaciones más detalladas con ellos, incluidas las IP del actor, bajo divulgación confidencial para ayudar en la investigación (TLP RED).

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.
PC WORLD PUBLICIDAD