セキュリティ企業のアバストは月曜日、2017年に買収したファイルクリーンアップユーティリティー「CCleaner」を破ろうとしたが失敗したため、一部の認証情報が盗まれ悪用されたと考えていると発表した。
アバスト・ソフトウェアの最高情報セキュリティ責任者(CISO)、ジャヤ・バルー氏はブログ記事で、同社は先月自社のネットワーク上で不審な行動を発見し、チェコの諜報機関である安全保障情報局(BIS)を含む外部のセキュリティ団体と協力して事件の調査を開始したと述べた。
2年前のCCleaner買収後、アバストは不正コードを含むCCleanerの侵害版を配布していたことを認めました。当時、このマルウェアは約227万台のPCに感染していたと考えられていました。
今回は、破壊行為の試みは阻止されたようです。フォレンジックデータにより、企業のVPNアドレス範囲内にある内部IPアドレスを使用した何者かによる悪意のある活動が明らかになりました。
「認証情報が侵害され、IPアドレスに関連付けられていたと思われるユーザーは、ドメイン管理者権限を持っていませんでした」とBaloo氏は述べています。「しかし、権限昇格に成功し、攻撃者はドメイン管理者権限の取得に成功しました。」
Avastは、ハッキングされたビルドボックスがCCleanerの災害を引き起こした後、開発者にツールチェーンのセキュリティ保護を促している。
続きを読む
さらに分析を進めたところ、攻撃者は英国でホストされているパブリックIPアドレスから接続し、少なくとも今年5月14日以降、Avastのネットワークへのアクセスを複数回試みていたことが明らかになりました。この攻撃は、誤って有効化され、二要素認証が有効になっていない一時的なVPNプロファイルを通じて、侵害された認証情報を利用することに成功しました。
Avastは調査を進める中でさらなるデータを収集するため、当該VPNプロファイルをそのまま残しました。また、緩和策を計画する一方で、製品のビルド環境とリリースシステムの強化にも取り組みました。
バルー氏によれば、同社はCCleanerの現在のバージョンと過去のバージョンに悪意のあるコードが含まれていないか確認するため、すべてのCCleanerのリリースを一時停止し、10月15日に自動アップデートとしてソフトウェアの修正済みバージョンに再署名し、以前の署名証明書を取り消してすべての内部認証情報をリセットしたという。
バルー氏は、今回の攻撃を「極めて巧妙」だと表現し、攻撃者は検知を避けるために慎重に行動していたと述べた。「今回の攻撃が以前と同じ犯人によるものかどうかは不明であり、確実に知ることはおそらく不可能でしょう。そのため、今回の攻撃を『アビス』と名付けました」とバルー氏は述べた。®
