圖片來源: 

CCleaner

捷克資安業者Avast本周指出,駭客利用所竊取的使用者憑證與臨時性的VPN檔案駭進該公司網路,並準備對CCleaner發動攻擊,但在該公司察覺此事之後,已成功阻止駭客的入侵,並為安全起見,已於10月中更新了CCleaner。

參與共同調查的捷克情報機構BIS,據取得的資料分析指出,高度懷疑此次入侵事件背後主使者為中國駭客,企圖控制CCleaner,並據以控制使用者的電腦。

Avast資訊安全長Jaya Baloo說明,他們是在今年的9月23日發現內部網路中的可疑行動,因而展開全面性的調查,並於10月1日收到MS ATA/VPN的警告,聲稱有一隸屬於該公司VPN位址的內部IP,不當複製了目錄服務。

追查之後發現此一傳輸是來自英國的公共IP,駭客利用一個臨時的VPN檔案與Avast員工憑證入侵了Avast內部網路,還進一步取得了網域管理員權限。Baloo說,這個臨時的VPN檔案理應已被關閉,且存取時也未要求雙因素認證。

紀錄顯示,駭客多次利用同一個VPN檔案與不同的員工憑證入侵Avast網路,第一次出現在今年5月14日,最後一次則是10月4日,且證據指出駭客的目標為免費系統清理軟體CCleaner。

於是Avast順延了原本要在9月25日發表的CCleaner,針對CCleaner進行全面的安全檢查,還回溯檢查過去的CCleaner版本,證實了所有的CCleaner版本都是乾淨的,並在10月15日透過自動更新發布了全新的CCleaner 5.63,也撤銷CCleaner先前所使用的簽章。

Baloo指出,他們在觀察到駭客的行為之後刻意維持該VPN檔案的存在以持續追蹤,一直到確認駭客的意圖並發布新版CCleaner之後才將它關閉,同時重設所有員工的憑證,未來也將更注重整體企業環境的安全性。

Avast總經理David Peterson表示,全球軟體公司日益成為破壞性攻擊、間諜組織或是國家級駭客的攻擊目標,過去幾年已出現許多資料外洩或供應鏈的攻擊事件,CCleaner過去就曾是駭客的攻擊目標,因此他們會更嚴格地監控與測試相關系統,並與執法機構及國際組織共同追蹤駭客的行為。

CCleaner為英國軟體公司Piriform在2003年所開發的免費系統清理軟體,Avast則是在2017年的7月收購了Piriform,但CCleaner在2017年9月就傳出遭駭客植入後門,且不論是自雲端或官網下載都無法倖免於難,當時估計至少波及200萬台電腦。Avast表示,他們並不確定這兩次的攻擊行動是否來自同一夥人。


Advertisement

更多 iThome相關內容