Konkrétně šlo o případ, kdy bylo 23. září 2019 v síti Avastu zjištěno podezřelé chování. Okamžitě bylo zahájeno rozsáhlé vyšetřování, jehož součástí byla i spolupráce s českou Bezpečnostní informační službou (BIS). Cílem bylo získat dodatečné nástroje a také prověřit nashromážděné důkazy.
Důkazy ukazovaly na aktivitu v MS ATA/VPN z 1. října. Znovu byla zkontrolována výstraha MS ATA, která byla původně označena za falešně pozitivní a která signalizovala, že došlo k podezřelé replikaci adresářů z interní IP adresy patřící mezi VPN adresy. Ukázalo se, že uživatel, jehož přihlašovací údaje byly zjevně zcizeny a přidruženy k IP adrese, neměl oprávnění správce domény, ale úspěšně navýšil svá oprávnění, a tak se mu podařilo získat přístupy správce domény. Připojení se uskutečnilo z veřejné IP adresy z hostingu M247 ve Velké Británii, útočník ale použil i další výstupní body stejného VPN poskytovatele.
Při analýze externích IP adres bylo zjištěno, že útočník se pokoušel získat přístup k síti prostřednictvím firemní VPN už 14. května 2019.
Po dalším rozboru vyšlo najevo, že interní síť byla přístupná prostřednictvím zcizených přihlašovacích údajů přes dočasný VPN profil, který zůstal chybně povolený a nevyžadoval dvoufázové ověření.
Aktivita byla znovu zpozorována 4. října. Konkrétní časy podezřelé aktivity označené MS ATA jsou (vždy v časovém pásmu GMT+ 2):
14:00 14. května 2019
04:36 15. května 2019
23:06 15. května 2019
15:35 24. července 2019
15:45 24. července 2019
15:20 11. září 2019
11:57 4. října 2019
Záznamy dále ukázaly, že dočasný profil použil několik sad uživatelských údajů, z čehož bylo usouzeno, že přístupové údaje byly kradené.
Aby mohli v Avastu sledovat aktéra, nechali dočasný VPN profil otevřený a pokračovali v monitorování a vyšetřování přístupů procházejících tímto profilem až do chvíle, kdy byli připraveni zjednat nápravu.
Souběžně s monitorováním a vyšetřováním byla prováděna proaktivní opatření na ochranu uživatelů a kompletně bylo odizolováno prostředí, ve kterém jsou sestavovány produkty a vydávány aktualizace.
Zpočátku se předpokládalo, že cílem útoku v dodavatelském řetězci byl populární optimalizační nástroj CCleaner, podobně jako v roce 2017. Přesto však v Avastu pokračovali v rozsáhlejších nápravných krocích.
25. září bylo zastaveno vydání CCleaneru a započalo se s kontrolami jeho předchozích verzí, aby byla jistota, že nebyly manipulovány. Následně byla preventivně vydána nová aktualizace, která byla uživatelům poskytnuta formou automatické aktualizace 15. října, a také byl zrušen předchozí certifikát.
Bylo jasné, že kvůli vydání nové verze CCleaneru útočníci poznají, že o nich v Avastu vědí, takže byl uzavřen i dočasný VPN profil. Zároveň byly deaktivovány a resetovány všechny přístupové údaje zaměstnanců. Zastaveno bylo také veřejné vydávání dalších produktů, jejichž aktualizace budou před vydáním podrobeny rozsáhlé kontrole.
Kromě toho bylo ještě více zpřísněno zabezpečení firemního síťového prostředí Avastu i příprava vydávání nových verzí produktů Avastu. Součástí opatření bylo i resetování všech přístupových údajů našich zaměstnanců.
Z poznatků, které Avast dosud shromáždil, je zřejmé, že šlo o nesmírně sofistikovaný pokus. Aktér postupoval s mimořádnou opatrností a snažil se nezanechat stopy po sobě, ani po účelu celé akce.
I nadále se pokračuje v rozsáhlém monitorování napříč interními sítěmi a systémy, protože Avast chce zlepšit detekční a reakční dobu. Ve spolupráci s širší kybernetickou komunitou i bezpečnostními složkami Avast pokračuje ve vyšetřování činnosti aktérů tohoto pokusu o útok.