Hacker xâm nhập Avast thông qua cấu hình VPN nội bộ cũ

Hacker xâm nhập Avast

Công ty an ninh mạng nổi tiếng Avast mới đây đã tiết lộ một vụ tấn công nhắm vào hệ thống của mình xảy ra vào hồi đầu năm nay. Phía Avast nhận định có vẻ như mục đích của các hacker là nhằm lây nhiễm ứng dụng CCleaner của công ty.

Avast tiết lộ vụ vi phạm bảo mật

Giám đốc an toàn thông tin của Avast, ông Jaya Baloo đã tiết lộ trong một bài đăng trên blog về vụ tấn công mang nhắm vào công ty gần đây. Theo chia sẻ thì ngay khi phát hiện ra các hoạt động đáng ngờ, Avast đã bắt đầu công cuộc điều tra và thực hiện một loạt các hành động cần thiết để ngăn chặn vụ tấn công.

Bằng chứng mà Avast thu thập được chỉ ra các hoạt động bất thường trên MS ATA / VPN vào ngày 1 tháng 10. Các kỹ sư bảo mật của công ty xem xét lại cảnh báo MS ATA về việc sao chép độc hại các dịch vụ thư mục (directory service) từ một IP nội bộ thuộc phạm vi địa chỉ VPN của công ty mà ban đầu đã bị bỏ qua do các hacker thực hiện hành vi xác minh giả.

Hacker khai thác tài khoản của người dùng

Avast đã phát hiện ra rằng những kẻ tấn công đã khai thác tài khoản của người dùng bị xâm nhập để có quyền truy cập vào các hệ thống của Avast.

“Chúng tôi thấy rằng mạng nội bộ đã bị truy cập thành công với thông tin đăng nhập của người dùng thông qua cấu hình VPN tạm thời được kích hoạt và không yêu cầu 2FA.”

 Mặc dù tài khoản bị ảnh hưởng không có đặc quyền miền (domain privilege) nhưng những kẻ tấn công đã kích hoạt leo thang đặc quyền để đạt được đặc quyền này.

Khi các kỹ sư theo dõi địa chỉ IP của kết nối thì đã tìm thấy một địa điểm nằm bên ngoài Vương quốc Anh. Bên cạnh đó, các kỹ sư Avast cũng phát hiện những kẻ tấn công này đã thực hiện nhiều nỗ lực thông qua cùng một VPN kể từ tháng 5 năm 2019.

Cuộc tấn công thứ hai nhắm vào CCleaner kể từ sau khi được mua lại

Avast nghi ngờ rằng các hacker đã nhắm mục tiêu CCleaner trong nỗ lực tấn công lần này. Tuy nhiên, phía công ty vẫn bắt đầu triển khai các cuộc điều tra ở cấp độ rộng hơn để đảm bảo tối đa về vấn đề an ninh và bảo mật.

“Mặc dù chúng tôi tin rằng CCleaner là mục tiêu của cuộc tấn công chuỗi cung ứng, như trường hợp vi phạm CCleaner vào năm 2017, nhưng chúng tôi vẫn tạo ra một mạng lưới rộng hơn các nỗ lực để khắc phục và ngăn chặn các rủi ro có thể xảy ra.”

Mặc dù Avast đặt tên cho cuộc tấn công là ‘Abiss” với mức đánh giá “vô cùng tinh vi”, nhưng thực tế là công ty vẫn đang kiểm soát được tình hình. Bên cạnh đó, Avast cũng tăng cường bảo mật cho các hoạt động xây dựng sản phẩm và bảo mật của mình.

‘Abiss’ chính thức đánh dấu một cuộc tấn công thứ hai nhắm vào CCleaner. Trước đó, một hacker khác đã xâm nhập ứng dụng vào năm 2017 bằng cách lây nhiễm phần mềm độc hại Floxif.

LHN