Espiões invadiram rede da Avast para contaminar o CCleaner

Paulo Brito
22/10/2019
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Invasão da rede começou em maio e só foi descoberta em setembro. Objetivo era contaminar o CCleaner

A holandesa Jaya Baloo, que assumiu o cargo de CISO da Avast há exatos 22 dias, precisou ontem anunciar que a rede da empresa sofreu uma invasão e que houve roubo de credenciais. Os detalhes do incidente foram publicados numa nota de 800 palavras no site da companhia. Embora a executiva não tenha declarado, transparece do texto que o ataque foi feito na rede em que opera a equipe do utilitário CCleaner, e que fica em Londres.

Segundo essas informações, a invasão começou em maio deste ano mas só foi notada dia 23 de Setembro, após a localização de tráfego suspeito na rede. A executiva da Avast conta que foi aberta imediatamente uma investigação, para a qual foi convocada a agência de inteligência tcheca, o Security Information Service (BIS) e uma equipe forense externa “para fornecer ferramentas adicionais para ajudar nossos esforços e verificar as evidências que estávamos coletando”.

A nota publicada pela CISO não aponta suspeitos, mas no primeiro parágrafo há indícios das suspeitas da Avast. Nesse trecho, Jaya escreveu: “As empresas globais de software estão cada vez mais sendo alvo de ataques disruptivos, espionagem cibernética e até sabotagem em nível de estado, como evidenciado pelos muitos relatórios de violações de dados e ataques à cadeia de suprimentos nos últimos anos.” Isso e mais a presença de autoridades policiais e de inteligência nas investigações reforça as suspeitas de que espiões estejam sendo procurados. Coincidência ou não, em março deste ano o BIS anunciou o desmantelamento de uma rede de espiões russos cujo disfarce eram duas empresas de informática sediadas em Praga.

O acesso do invasor não foi exatamente difícil. Segundo a CISO, ele foi feito por meio de um perfil temporário para uso de VPN, que além de ter ficado ativo não exigia duplo fator de autenticação. Esse acesso já havia sido apontado nos alertas do serviço MS ATA mas o alerta foi inicialmente descartado como “falso positivo”. A nota conta que o usuário cujas credenciais foram “aparentemente comprometidas e associadas ao IP, não tinha privilégios de administrador de domínio”. No entanto, por meio de uma escalação de privilégios bem-sucedida segundo a CISO, “o ator conseguiu obter privilégios de administrador de domínio. A conexão foi feita a partir de um IP público hospedado fora do Reino Unido e determinamos que o invasor também usava outros endpoints através do mesmo provedor de VPN”.

O ataque foi feito na rede em que trabalha a equipe do CCleaner. Esse software pertencia à Piriform, empresa que a Avast adquiriu em 2017. Ele atua na eliminação de arquivos desnecessários de vários aplicativos, agindo também no registro do Windows 7, 8.1 e 10. Ou seja, pode controlar muitas funções do sistema operacional – daí o interesse das ações de espionagem.

Embora o CCleaner tenha provavelmente sido o alvo, como aconteceu em 2017, a Avast tomou providências mais amplas: em 25 de setembro foram suspensas atualizações do software, enquanto se verificavam as versões anteriores – nas quais nenhuma alteração maliciosa havia sido feita, disse a CISO da Avast. “Como mais duas medidas preventivas, primeiro criamo uma atualização limpa do produto, enviamos aos usuários por meio de uma atualização automática em 15 de outubro e, em segundo lugar, revogamos o certificado anterior. Tendo tomado todas essas precauções, estamos confiantes em dizer que nossos usuários do CCleaner estão protegidos e não são afetados”.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest