[English]Unbekannte hatten wohl ca. 6 Monate Zugang zum AVAST-Firmennetzwerk. Ziel soll angeblich eine erneute Kompromittierung der CCleaner-Software gewesen sein. AVAST behauptet, den Angriff abgewehrt zu haben.
Anzeige
Es ist ein ganz merkwürdiger Vorgang, auf den mich Blog-Leser in diesem Kommentar aufmerksam gemacht haben. Der Versuch der Cyber-Spionage ist inzwischen von AVAST bestätigt.
Was ist bei AVAST passiert?
Am 23. September 2019 bemerkte AVAST verdächtige Aktivitäten in seinem Firmennetzwerk, wodurch eine Untersuchung eingeleitet wurde. Dazu wurden der tschechische Nachrichtendienst (BIS) und ein externes Forensik-Team hinzugezogen.
(Quelle: Pexels Josh Sorenson)
Am 1. Oktober 2019 wurden dann Zugriffe auf das Netzwerk per VPN (MS ATA/VPN) bemerkt. Es war ein Alarm ausgelöst worden, weil es eine bösartige Replikation von Directory Services gegeben hatte. Dieser war über eine interne IP-Adresse, die zu den von AVAST vergebenen VPN-Adressen gehörte, eingeleitet worden. Der Nutzer hatte eigentlich keine Berechtigungen, zur Administration der Domain – konnte also eigentlich die Replikation der Directory Services nicht angestoßen haben. Offenbar war das Konto des Nutzers kompromittiert und die Angreifer hatten erfolgreich eine Ausweitung der Berechtigungen vorgenommen, um auf die Directory Services zugreifen zu können.
Anzeige
Eine Analyse des Vorgangs ergab, dass der Zugriff erst als False Positive eingestuft worden war. Die VPN-Verbindung erfolgte über eine in Großbritannien gehostete IP, wobei der Angreifer auch andere Endpunkte über den gleichen VPN-Anbieter nutzte. Durch die Analyse der externen IPs wurde festgestellt, dass der Angreifer bereits seit dem 14. Mai 2019 versuchte, über den kompromittierten VPN-Zugang (der keine 2FA verwendete) auf das AVAST-Netzwerk zuzugreifen. Offenbar waren die Zugriffe auch erfolgreich.
Am 4. Oktober 2019 gab es die nächste Aktivität. Im Blog-Beitrag listet AVAST die Zugriffe auf das eigene Netzwerk auf. Vermutet wird, dass für ein temporäres Profil gestohlene Zugangsdaten verwendet wurden. AVAST leitete, laut eigener Auskunft, sofort Maßnahmen zum Schutz seiner Product-Build-Umgebung ein.
Vermutung: CCleaner Build-Infrastruktur als Ziel
AVAST nimmt an, dass der Angriff ein weiterer Versuch gewesen ist, die CCleaner-Build-Umgebung im Rahmen eines Supply-Chain-Angriffs zu kompromittieren. Das hatte es bereits im Sommer 2017 gegeben – ich hatte im Blog-Beitrag AVAST-Stellungnahme zur CCleaner-Backdoor u.a. über eine Stellungnahme von AVAST zum Piriform-Hack berichtet. Dort wurden auch die oben erwähnten Nutzer-Kommentare hinterlegt.
Daher wurden die Releases für den CCleaner bereits am 25. September 2019, so AVAST, auf Eis gelegt. Die Releases wurden geprüft und am 15. Oktober 2019 wurde ein neu signiertes Produktupdate an die CCleaner-Nutzer verteilt und gleichzeitig alte Zertifikate, die zum Signieren älterer Versionen verwendet wurden, widerrufen. Gleichzeitig wurden der VPN-Zugang geschlossen und alle internen Zugangsdaten zurückgesetzt. AVAST gibt sich sicher, dass keine Kunden durch kompromittierte Software gefährdet wurden.
AVAST schreibt, dass es sich um einen sehr ausgefeilten Versuch gehandelt habe, bei dem die Angreifer versuchten, keine Spuren zu hinterlassen. Ob es die Angreifer aus 2017 waren, ist nicht bekannt. AVAST hat den Angriffsversuch 'Abiss' genannt, was sich von dem englischen Abyss (Abgrund) ableitet. Was tief blicken lässt. Aktuell muss man das erst mal so stehen lassen und glauben/hoffen, dass wirklich nichts bei AVAST kompromittiert worden ist.
Der Vorgang zeigt wieder einmal, wie wackelig die ganze Sache geworden ist. Techcrunch berichtet hier, dass NordVPN einen Hack in einem Daten-Center in 2018 eingestanden hat.
Anzeige
Gibt es nicht Spezialtastaturen, die jedenTastenanschlag aufzeichnen, ihn über W-Lan oder codierte Datenpakete ausschleusen, optisch identisch mit der orginal Tastatur?
Mäuse nicht nur aus dem China Shop mit eingebauter GSM-Karte. Im Zweifelsfall von der Reinigungskraft wieder mit der Orginaltastatur ausgetauscht?
Keyboard Guard als Zusatz zum Antivierenprogramm?
Wer dreht jeden Tag sein Keyboard um und guckt auf die Unterseite und die Seriennummer?
Und gabs bei Apple Tastaturen nicht diesen Firmware-Hack, der als Keylogger diente?
Zu der Zeit, als sich die großen Apple Tastaturen mit Ziffernblock sich noch nicht wie Bananen durchgebogen haben.
In solchen Fällen nutzen auch keine 20stelligen Passwörter.
Und da gibt es auch noch "Session Replay".
E-Zigaretten gefährden Ihre Gesundheit und die Sicherheit Ihres Rechnersn (wenn über Usb…). Dass Sie gehackt werden, können sie nicht verhindern, aber Sie brauchen einen Notfallplan. (Dafür gibt es ja jetzt eine Pdf – Vorlage vom BSI).
Beim manchem VPN-Anbieter reicht ja der Blick auf den aktuellen Eigentümer, um das Programm direkt wieder zu deinstallieren.
"AVAST behauptet, …"
bereits in der Überschrift – etwas arg tendenziös. Und eher Niveau der "Zeitung" mit den 4 Buchstaben, aber entfernt von seriöser Berichterstattung. Wo Wertung und Berichterstattung erkennbar getrennt bleiben.
Warum tendenziös? Der Angreifer ist nicht identifiziert und nach wie vor unbekannt. Die Informationen, die Avast veröffentlicht hat, werfen vor diesem Hintergrund mehr Fragen auf als sie beantworten – vor allem, was die Vertrauenswürdigkeit von Avast-Produkten (Antivirus, CCleaner etc.) betrifft.
Hinweis für AVAST-Nutzer
Ich hatte bereits am 19.10. darauf hingewiesen: „Avast hat aktuell Probleme, Virendefinitions-Updates auszuliefern. Stream-Updates sollen angeblich funktionieren. Ein Schelm, wer hier einen Zusammenhang mit dem Cyber-Angriff auf Avast vermutet: War die Attacke auf das Firmennetz am Ende doch schwerwiegender war, als es Avast (öffentlich) einräumt?"
Das hat sich nun bestätigt. Im Avast-Forum heißt es:
„INFO: Nach dem Angriffsversuch auf unser Netzwerk, den wir am 21. Oktober mitteilten, haben wir alle Releases, die zur Sperrung der VPS-Updates für alle Avast-Produktversionen 9.x – 19.x geführt haben, gründlich überprüft. Dies war eine wichtige Vorsichtsmaßnahme […], um sie auf geänderten Code zu analysieren. Dies ist der Grund für die Verzögerung bei der Lieferung von VPS-Updates in der letzten Woche. Wir haben inzwischen bestätigt, dass die VPS-Updates sicher sind. Als zweiten zusätzlichen Schritt haben wir einen Prozess implementiert, bei dem Produktaktualisierungen, einschließlich VPS-Aktualisierungen, alle paar Tage gründlich überprüft und aktualisiert werden, anstatt täglich. [sic!] Wir arbeiten hart daran, zu unserem regulären Prozess der Veröffentlichung täglicher VPS-Updates zurückzukehren.
Für Avast-Benutzer, die derzeit noch eine Avast-Version 8.x verwenden, werden die VPS-Updates angehalten und einer strengen Überprüfung unterzogen. Wir arbeiten hart daran, dies so schnell wie möglich zu beheben.
Trotz dieser Verzögerungen sind wir zuversichtlich, dass alle unsere Benutzer geschützt sind. Die Bedrohungserkennungssysteme von Avast bestehen aus mehreren Sicherheitsebenen, und die automatisch gestreamten Updates, die kontinuierlich zwischen den aggregierten VPS-Updates veröffentlicht werden, werden alle 3 bis 5 Minuten ausgeführt, um Virendefinitionsdaten bereitzustellen, und stellen sicher, dass die Benutzer in Unternehmen und Privatanwendern vollständig geschützt sind mal."
(Quelle: https://forum.avast.com/index.php?topic=229974.msg1523843#msg1523843, abgerufen am 23.10.19, 13:40, maschinell übersetzt mit Google)
Auf meinem Huawei Android Smartblöd scannt Avast die Downloads aus dem Playstore. Ein mögliches Angriffziel könnten demzufolge auch Android Smartblöd sein.
Fakt ist: Es gab einen Angriff auf das Firmennetz von Avast. Der Angriff war erfolgreich, und der bislang unbekannte Angreifer konnte sich mehrere Monaten unbemerkt im Firmennetz von Avast bewegen. Das ist ein Worst-Case-Szenario. Wie gravierend dieser Angriff war und wie tief der Angreifer in die Avast-Infrastruktur eingedrungen ist, zeigt der Foren-Post, den ich gestern in meinem vorstehenden Kommentar hier eingestellt habe: Avast hatte kurzzeitig das Ausliefern von Virendefinitions-Updates für alle Avast Antivirus-Versionen gestoppt, weil der Verdacht im Raum stand / steht, dass in den vergangenen Monaten mit den Virendefintions-Updates Malware („geänderter Code") an Millionen von Endgeräten (wie ihr Smartphone mit Avast Mobile) ausgeliefert wurde. Allein der Verdacht, dass das passiert sein könnte, ist der Hammer …
Ich gehe mal davon aus, dass der Angriff nicht nur Spielerei oder Training war :-)
Auf meinem Huawei Smartblöd mit dem Gnomen-Android ist Avast ab Werk drauf, ob von Huawei oder gar den Android-Idioten, weiss ich natürlich nicht.
Wieso Android als Ziel? Wenn Avast auf allen Android-Smartblöds ab Werk drauf ist, ist das ein lohnendes Ziel. Vermutlich 1 Milliarde Geräte?
Falls es wen interessiert, eine kleine Statusmeldung: Bei Avast ist nach wie vor Land unter. Virendefinitions-Updates sind rar wie Oasen in der Wüste. Die „Avast Virus Updates History" steht still seit dem 10.10.2019 – seit drei Wochen (https[:]//www.avast.com/virus-update-history). Ein Avast 8-Nutzer beklagt sich, dass er seit dem 12.10.2019 komplett auf dem Trockenen sitzt und kein Update mehr erhalten habe. Die Funktion Stream-Update gibt es m.W. bei Avast 8 nicht. Selbst bei den neueren Avast-Versionen mit Stream-Update gibt es unter Nutzern die auf Außenstehende leicht bizarr wirkende Diskussion, wie man denn feststellen könne, ob man Stream-Updates erhalten habe. Einige Nutzer meinen, man müsse den „defs"-Ordner beobachten (Program Files\AVAST Software\Avast\defs). Na ja, spätestens an diesem Punkt fragt man sich, wie vertrauenswürdig und zuverlässig das alles zurzeit ist und ob man Avast Antivirus aktuell überhaupt noch einsetzen kann. Die Avast-Leute scheinen es im Moment nicht in den Griff zu bekommen. … Entgegen der Pressemitteilung von Avast, dass angeblich CCleaner Ziel des Cyber-Angriff gewesen sei, scheint die Kern-Infrastruktur von Avast Antivirus viel stärker von dem Cyber-Angriff betroffen zu sein. So wirkt es zumindest von Außen.