Hacker valt CCleaner aan via intern netwerk Avast

Antivirusspecialist Avast is zelf het slachtoffer geworden van een gesofisticeerd hack. Een aanvaller misbruikte een gekraakt VPN-profiel in een vermoedelijke poging malware te injecteren in CCleaner. Avast ontdekte de aanval voor dat kon gebeuren.

Het interne netwerk van beveiligingsspecialist Avast werd gekraakt door een hacker. Dat maakt het Tsjechische bedrijf zelf bekend. Op 23 september ontdekte Avast een indringer op het netwerk. Na onderzoek bleek dat de hacker al minstens sinds 14 mei van dit jaar toegang had tot het interne netwerk.

VPN-lek

De cybercrimineel raakte binnen via een tijdelijk VPN-profiel zonder tweefactorauthenticatie. Het profiel in kwestie was nooit bedoeld om lang actief te zijn, maar werd per vergissing niet verwijderd. Aanvankelijke indicaties dat er iets aan de hand kon zijn werden afgedaan als valse positieven aangezien het schuldige IP-adres in kwestie vertrouwd was. Uiteindelijk suggereerden waarschuwingen van Microsofts Advanced Threat Analytics dat er wel degelijk iets aan de hand was.

Het misgebruikte VPN-profiel had geen administratorrechten maar de geduldige hacker slaagde er na verloop van tijd in op de privileges geassocieerd met het account te escaleren. Onderzoek toont aan dat het vermoedelijke doelwit van de hacker de productiecode van de populaire CCleaner-tool was. CCleaner is een gratis programma dat helpt om een Windows-pc schoon te houden. De tool werd in 2017 al eens gehackt. Criminelen injecteerden toen kwaadaardige code in de productiepijplijn. Dat zorgde uiteindelijk voor officiële gecertificeerde updates met malafide code aan boord.

Deze keer werd het hack op tijd ontdekt. Avast heeft zich daarvan vergewist door de recentste versies van de CCleaner-code te analyseren. Bovendien lanceerde het bedrijf een nieuwe update voor de tool met een vers certificaat, zodat hackers niet de mogelijkheid zouden hebben om valse updates te verspreiden.

Analyse van de aanval

Na de ontdekking van het hack liet het beveiligingsbedrijf de crimineel nog enkele weken zijn gang gaan in de hoop specifiekere motieven te ontdekken. Volgens Avast wijst alles erop dat de aanvaller in kwestie erg ervaren was. “Het is duidelijk dat het om een extreem gesofisticeerde aanval gaat waarbij de aanvaller geen intenties had om sporen na te laten die iets konden verklappen over zijn aanwezigheid of doel”, klinkt het.

In 2017 communiceerde Avast erg open over het CCleaner hack. Het bedrijf wil nu dezelfde transparantie voor de dag brengen. Het werkt samen met onder andere de Tsjechische veiligheidsdiensten, de politie en een extern forensisch onderzoeksteam om zoveel mogelijk over de aanval te ontdekken. Eventuele updates worden in principe publiek gedeeld.

Maatregelen

In afwachting laat Avast al weten dat het operationele maatregelen heeft genomen om gelijkaardige aanvallen in de toekomst te voorkomen. Alle bestaande inloggegevens voor medewerkers werden preventief gereset aangezien de hacker vermoedelijk binnenraakte via gelekte credentials.

De aanval toont aan dat hackers met geavanceerde tools en een duidelijke missie er niet voor terugschrikken om niet voor de hand liggende doelwitten aan te vallen. Het risico en de tijdsinvestering die gepaard gaat met een aanval op een bedrijf als Avast is groot, maar de eventuele resultaten zijn de moeite. Wie de productiecode van een populaire app kan aanpassen, ziet plots achterpoortjes opengaan in duizenden of zelfs miljoenen systemen.

Dat is deze keer voor alle duidelijkheid niet gebeurd. Zowel de antivirussoftware van Avast als CCleaner zijn veilig en kan je zonder extra maatregelen verder gebruiken.