top of page

Avast : une nouvelle attaque a visé son réseau VPN interne

Avast : une nouvelle attaque a visé son réseau VPN interne

Le fabricant tchèque de logiciels de cybersécurité, Avast, a révélé aujourd’hui une brèche de sécurité ayant affecté son réseau interne.

Dans une déclaration publiée aujourd’hui, la société a expliqué qu’elle pensait que le but de cette attaque était d’insérer un logiciel malveillant dans le logiciel CCleaner, à l’instar de l’incident de CCleaner en 2017.

Avast a déclaré que l’attaque avait débuté lorsque l’attaquant avait compromis les informations d’identification VPN d’un employé et obtenu l’accès à un compte qui n’était pas protégé à l’aide d’une solution d’authentification à plusieurs facteurs.

L’intrusion a été détectée le 23 septembre, mais Avast a déclaré avoir trouvé des éléments laissant pensé que les attaquants visaient leur infrastructure depuis le 14 mai.

“L’utilisateur, dont les informations d’identification étaient apparemment compromises et associées à l’adresse IP, ne disposait pas de privilèges d’administrateur de domaine. Toutefois, après une élévation réussie des privilèges, l’attaquant a réussi à obtenir les privilèges d’administrateur de domaine”, a déclaré Jaya Baloo, responsable de la sécurité des informations chez Avast.

Baloo a déclaré qu’Avast avait délibérément laissé le profil VPN compromis actif, dans le but de suivre l’attaquant et d’observer ses actions.

Cette situation a duré jusqu’au 15 octobre, date à laquelle la société terminait l’audit des versions précédentes de CCleaner et publiait une nouvelle mise à jour saine.

Parallèlement, Avast a également modifié le certificat numérique utilisé pour signer les mises à jour de CCleaner. La nouvelle mise à jour a été signée avec un nouveau certificat numérique et la société a révoqué le précédent certificat utilisé pour signer les anciennes versions de CCleaner. Il l’a fait pour empêcher les attaquants de signer de fausses mises à jour de CCleaner, au cas où les pirates informatiques parviendraient à mettre la main sur l’ancien certificat.

“Après avoir pris toutes ces précautions, nous sommes certains de dire que nos utilisateurs de CCleaner sont protégés et non affectés”, a déclaré Baloo.

Un air de déjà vu

Le fabricant d’antivirus a annoncé qu’il enquêtait actuellement sur cet incident avec l’agence de renseignement tchèque, le service d’information de sécurité (BIS), la division de la cybersécurité des forces de police tchèques locales et une équipe externe.

Avast a déclaré qu’il n’y avait pour l’instant aucune preuve suggérant que cette attaque a été causée par le même groupe qui a visé son infrastructure en 2017. Toutefois, la société a souligné que l’intrusion avait été perpétrée par un acteur malveillant expérimenté.

“D’après les informations que nous avons recueillies jusqu’à présent, il est clair qu’il s’agissait d’une tentative extrêmement sophistiquée à notre encontre visant à ne laisser aucune trace de l’intrus ni de son objectif, et que celui ci progressait avec une prudence exceptionnelle pour ne être détecté “, a déclaré Baloo.

L’enquête est en cours et la société a promis d’autres mises à jour. Auparavant, Avast avait reçu des éloges pour la franchise dont il avait fait preuve en enquêtant sur le piratage CCleaner de 2017, publiant plusieurs mises à jour sur l’incident, à mesure qu’il en apprenait davantage sur le piratage [1, 2, 3, 4].

Le piratage 2017 de CCleaner a eu lieu avant qu’Avast ait completé l’acquisition de Piriform, la société editrice de CCleaner. Les pirates informatiques ont infiltré le réseau de Piriform via un compte TeamViewer et ont introduit des logiciels malveillants dans CCleaner. Les assaillants, soupçonnés d’être un groupe de pirates informatiques commandités par l’État chinois, ont introduit un logiciel malveillant qui ne téléchargerait une charge utile que lorsque la version malveillante de CCleaner etait installée sur le réseau d’une grande entreprise.

La liste des cibles incluait Cisco, Microsoft, Google, NEC et de nombreuses autres grandes entreprises. Avast a déclaré que 2,27 millions d’utilisateurs avaient téléchargé la version contaminée de CCleaner en 2017; 1 646 536 ordinateurs ont été infectés par le cheval de Troie Floxif, un premier module qui recherchait des cibles de grande valeur. Au final, seuls 40 ordinateurs ont reçu le deuxième module qui contenait une porte dérobée plus puissante.

0 vue0 commentaire

Comments


bottom of page