Ciudad de México, México, 21 de Octubre de 2019. - Cada vez más, las compañías globales de software son objeto de ataques disruptivos, ciberespionaje e incluso sabotaje a nivel estado-nación, como lo demuestran los numerosos informes de violaciones de datos y ataques en los últimos años. En Avast, trabajamos constantemente para adelantarnos a los cibercriminales y luchar contra los ataques a nuestros usuarios. Por lo tanto, no es tan sorprendente que nosotros mismos podamos ser un objetivo para ellos.
El 23 de septiembre, identificamos comportamientos sospechosos en nuestra red e iniciamos una investigación inmediata y extensa. Esto incluyó colaborar con la agencia de inteligencia checa, el Servicio de Información de Seguridad (BIS), la división de seguridad cibernética de la policía local checa y un equipo forense externo para proporcionar herramientas adicionales para ayudar a nuestros esfuerzos y verificar la evidencia que estábamos recopilando.
La evidencia que reunimos apuntaba a actividad en Microsoft Advanced Threat Analytics (MS ATA) desde una VPN (Red Privada Virtual) el 1 de octubre, cuando volvimos a revisar una alerta de MS ATA de una réplica maliciosa de servicios de directorio desde una dirección IP interna que pertenecía a nuestro rango de direcciones VPN, que originalmente se había descartado como un falso positivo. El usuario, cuyas credenciales aparentemente estaban comprometidas y asociadas con la dirección IP, no tenía privilegios de administrador de dominio. Sin embargo, a través de una escalada de privilegios exitosa, el actor logró obtener privilegios de administrador de dominio. La conexión se realizó desde una IP pública alojada fuera del Reino Unido y determinamos que el atacante también usó otros nodos a través del mismo proveedor de VPN.
Después de un análisis más detallado, descubrimos que se accedió con éxito a la red interna con credenciales comprometidas a través de un perfil VPN temporal que se mantuvo habilitado por error y no requería autenticación de dos factores (2FA), que requiere autorizar el inicio de sesión aún después de ingresar la contraseña.
El 4 de octubre, observamos esta actividad nuevamente. Las marcas de tiempo para la actividad sospechosa marcada por MS ATA son (todas las veces GMT+2):
- 02:00 PM – 14 de mayo, 2019
- 04:36 AM – 15 de mayo, 2019
- 11:06 PM – 15 de mayo, 2019
- 03:35 PM – 24 de julio, 2019
- 03:45 PM – 24 de julio, 2019
- 03:20 PM – 11 de septiembre, 2019
- 11:57 AM – 4 de octubre, 2019
Los registros mostraron además que el perfil temporal había sido utilizado por múltiples conjuntos de credenciales de usuario, lo que nos lleva a creer que estaban sujetos a robo de credenciales.
Para rastrear al infractor, dejamos abierto el perfil de VPN temporal, continuamos monitoreando e investigando todo el acceso que pasaba por el perfil hasta que estuviéramos listos para llevar a cabo acciones correctivas.
Paralelamente a nuestro monitoreo e investigación, planificamos y llevamos a cabo medidas proactivas para proteger a nuestros usuarios finales y garantizar la integridad tanto de nuestro entorno de creación de productos como de nuestro proceso de lanzamiento.
Aunque creíamos que CCleaner era el objetivo probable de un ataque a la cadena de suministro, como fue el caso en una violación de CCleaner en 2017, lanzamos una red más amplia en nuestras acciones de remediación.
El 25 de septiembre, detuvimos las próximas versiones de CCleaner y comenzamos a verificar las versiones anteriores de CCleaner y verificamos que no se hubieran realizado modificaciones maliciosas. Como dos medidas preventivas adicionales, primero volvimos a firmar una actualización limpia del producto, y la enviamos a los usuarios a través de una actualización automática el 15 de octubre y, en segundo lugar, revocamos el certificado anterior. Después de tomar todas estas precauciones, podemos decir con confianza que nuestros usuarios de CCleaner están protegidos y no se ven afectados.
Además, continuamos fortaleciendo y protegiendo aún más nuestros entornos para las operaciones comerciales de Avast y la construcción de productos, incluido el restablecimiento de todas las credenciales de los empleados, con más pasos planeados para mejorar la seguridad comercial general en Avast.
De las ideas que hemos reunido hasta ahora, está claro que éste fue un intento extremadamente sofisticado contra nosotros, que tenía la intención de no dejar rastros del intruso o su propósito, y que el actor estaba progresando con una precaución excepcional para no ser detectado. No sabemos si éste fue el mismo actor que antes y es probable que nunca lo sepamos con certeza, por lo que hemos llamado a este intento 'Abiss'.
Continuamos con una revisión exhaustiva del monitoreo y la visibilidad en nuestras redes y sistemas para mejorar nuestros tiempos de detección y respuesta. Además, investigaremos más nuestros registros para revelar los movimientos y el modus operandi del actor de la amenaza junto con la comunidad más amplia de seguridad y cumplimiento de la ley; ya hemos compartido indicaciones más detalladas con ellos, incluidas las direcciones IP del actor, bajo divulgación confidencial para ayudar en la investigación (TLP RED).