VPN(Virtual Private Network)即虛擬專用網路。
作為傳輸網際網路流量的加密隧道,在企業中應用十分廣泛。
這也就意味著,一旦VPN出現漏洞,公司的內網資源將受到威脅。
而這次,VPN攻擊發生在了防毒軟體巨頭Avast公司。
CCleaner是什麼?
自從2017年7月收購Piriform以來,CCleaner軟體就讓捷克網路安全公司Avast頭痛。
CCleaner(以前稱為Crap Cleaner)是2004年啟動的Windows應用程式,在使用者解除安裝舊應用程式後會刪除舊的Windows登錄檔項,以縮小注冊表的大小並提高Windows作業系統的速度。
作為一款PC清潔工具,經過多年發展,CCleaner現在支援多種其他功能,例如刪除其他應用程式的殘留檔案,為其他應用程式執行自動更新,甚至阻止廣告跟蹤器等。該應用程式已下載超過25億次,並在68個國家擁有4.35億使用者。
CCleaner帶來巨大使用者群的同時也讓Avast被黑客盯上。
早在2017年,黑客就通過TeamViewer帳戶入侵了Piriform的網路,釋出了植入了惡意軟體的CCleaner更新,藉此可以收集受感染主機的資訊,然後將資訊傳送回黑客的伺服器。其中一共有227萬使用者收到了虛假更新,160萬臺計算機被感染。
在今年9月,第二波攻擊來襲了,這次的目標依然瞄準CCleaner,但方法卻有所不同,能夠使用臨時VPN帳戶訪問其內部網路。
瞄準CCleaner的VPN攻擊
這次攻擊被命名為“Abiss”,黑客十分謹慎,以其複雜的過程試圖在入侵過程中不留下任何痕跡。
Avast發現,從5月14日以來,攻擊者一直試圖通過VPN來訪問Avast的網路。
為了找尋黑客的行蹤,Avast官方一直將臨時的VPN配置檔案處於開啟狀態,用於監視和調查黑客的攻擊行動。
之後他們發現黑客使用了受損的使用者名稱和密碼從公共IP地址入侵到臨時VPN賬戶,以訪問公司的內部網路,雖然該賬戶並沒有管理員許可權,但黑客成功獲得了特權升級進行攻擊,並從內部IP惡意複製目錄服務。
同時,該臨時配置檔案還導致使用者憑據容易被竊取。
在這次的攻擊中,Avast很迅速地加強補救措施以限制損失,不僅暫停了即將釋出的CCleaner版本,並開始檢查以前的CCleaner版本,以確認沒有被黑客進行惡意更改。此外,Avast還禁用並重置所有內部使用者憑據。
目前,尚無法確定此次攻擊是否與2017年的攻擊事件有關,Avast正在與捷克情報局共同監視黑客的行為,以進一步調查。
供應鏈攻擊已成為當今最大的威脅,全球的軟體公司都應保持警惕,提高自身功能的同時能夠及時發現問題並解決,最大限度地保障使用者安全。
* 本文由看雪編輯 LYA 編譯自 Threat Post,轉載請註明來源及作者。