捷克安全企业Avast本周指出,黑客利用所窃取的用户凭证与临时性的VPN文件黑进该公司网络,并准备对CCleaner发动攻击,但在该公司发现此事之后,已成功阻止黑客的入侵,并为安全起见,已于10月中更新了CCleaner。
参与共同调查的捷克情报机构BIS,据取得的数据分析指出,高度怀疑此次入侵事件背后主使者为中国黑客,企图控制CCleaner,并据以控制用户的计算机。
Avast信息安全主管Jaya Baloo说明,他们是在今年的9月23日发现内部网络中的可疑行动,因而展开全面性的调查,并于10月1日收到MS ATA /VPN的警告,声称有一隶属于该公司VPN地址的内部IP,不当复制了目录服务。
追查之后发现该传输是来自英国的公共IP,黑客利用一个临时的VPN文件与Avast员工凭证入侵了Avast内部网络,还进一步取得了域名管理员权限。Baloo说,这个临时的VPN文件理应已被关闭,且访问时也未要求双因素认证。
纪录显示,黑客多次利用同一个VPN文件与不同的员工凭证入侵Avast网络,第一次出现在今年5月14日,最后一次则是10月4日,且证据指出黑客的目标为免费杀毒软件CCleaner。
于是Avast顺延了原本要在9月25日发布的CCleaner,针对CCleaner进行全面的安全检查,还回溯检查过去的CCleaner版本,证实了所有的CCleaner版本都是干净的,并在10月15日通过自动更新发布了全新的CCleaner 5.63,也撤销CCleaner先前所使用的签章。
Baloo指出,他们在观察到黑客的行为之后刻意维持该VPN文件的存在以持续关注,一直到确认黑客的意图并发布新版CCleaner之后才将它关闭,同时重设所有员工的凭证,未来也将更注重整体企业环境的安全性。
Avast总经理David Peterson表示,全球软件公司日益成为破坏性攻击、间谍组织或是国家级黑客的攻击目标,过去几年已出现许多数据外泄或供应链的攻击事件,CCleaner过去就曾是黑客的攻击目标,因此他们会更严格地监控与测试相关系统,并与执法机构及国际组织共同关注黑客的行为。
CCleaner为英国软件公司Piriform在2003年所开发的免费杀毒软件,Avast则是在2017年的7月收购了Piriform,但CCleaner在2017年9月就传出遭黑客植入后门,且不论是自云计算或官网下载都无法幸免于难,当时估计至少波及200万台计算机。Avast表示,他们并不确定这两次的攻击行动是否来自同一伙人。