知名反病毒程序的制造商Avast宣布,它于9月23日检测到未经授权的入侵。根据该公司的说法,攻击者试图破坏该公司的CCleaner更新服务器,类似于两年前发生的情况。之前,当相同或其他攻击者成功渗透到这些服务器时。
Avast说,它的内部网络已经通过一个受威胁的内部VPN配置文件成功访问,该配置文件不应该启用并且不需要两步验证。
该公司还获悉,自2014年以来,攻击者一直试图通过Avast的VPN来访问该公司的网络。一旦了解了这些尝试,该公司便使VPN配置文件保持启用状态,以查看攻击者将能够破坏什么。
9月25日,该公司停止了CCleaner更新,因为它认为该程序是攻击者的目标。然后,它验证了以前的CCleaner更新,以确保它们尚未遭受恶意修改。然后,它在10月15日向用户推送了全新的自动更新,并且还吊销了以前的证书。
完成此操作后,Avast会禁用受感染的VPN配置文件并重置所有内部凭据。该公司还对其CCleaner更新进行了进一步的审查。
两年前,就在Avast购买了PC实用工具的制造商Pleanform(即CCleaner,Defragler等)之后的几个月,研究人员发现CCleaner的更新服务器已受到恶意参与者的破坏。攻击者在CCleaner的更新文件中安装了后门程序,该漏洞危害了227万用户。
当时,Avast无法将Piriform应用程序迁移到其自己的基础架构中。事件发生后,Avast将Piriform构建工具和Piriform员工都移至使用其自己的内部系统。
事件发生后,人们发现恶意行为者能够访问公司内部网络中的计算机,这些公司的内部网络包括英特尔,微软,Linksys,Dlink,谷歌,三星和思科,O2和沃达丰,Gauselmann等电信公司,游戏机制造商,以试图提取有价值的知识产权。
Avast建议当时的普通用户更新到最新的CCleaner干净版本(v.5.35),但是公司用户可能不得不进一步调查后门CCleaner应用程序的安装如何影响他们的网络。
