Avast potwierdza atak
Czeski producent oprogramowania antywirusowego ogłasza drugi atak mający na celu zagrożenie uruchomieniu CCleaner. W opublikowanym dzisiaj oświadczeniu firma twierdziła, że celem ataku było wstrzyknięcie złośliwego oprogramowania, podobnego do znanego incydentu CCleaner 2017, do kodu CCleaner. Avast powiedział, że doszło do naruszenia, ponieważ napastnik nadużył poświadczeń VPN pracownika i uzyskał dostęp do konta, które nie było zabezpieczone przez uwierzytelnianie wieloskładnikowe. Włamanie zostało odkryte 23 września, ale Avast twierdzi, że znalazł dowody, że haker atakował jego sieć do 14 maja tego roku.
„Na zaatakowanej stacji nie było uprawnień administratora domeny, którego poświadczenia najwyraźniej zostały naruszone i powiązane z IP. Ale dzięki udanemu podwyższeniu uprawnień „aktor” mógł uzyskać uprawnienia administratora domeny” – powiedziała Jaya Baloo, dyrektor ds. Bezpieczeństwa informacji Avast (CISO).
Baloo powiedział, że Avast celowo pozostawił aktywny profil zainfekowanego VPN, aby śledzić i obserwować działania atakującego.
Trwało to do 15 października, kiedy firma zakończyła testowanie poprzednich wersji CCleaner i zaktualizowała go w „czysty sposób”.
Avast zaktualizował również swoją elektroniczną certyfikację do podpisywania aktualizacji CCleaner w tym samym czasie. Wydano nowy certyfikat cyfrowy i firma cofnęła poprzedni certyfikat używany do rejestracji starszych wersji CCleaner. Stało się tak, aby uniemożliwić atakującym korzystanie z fałszywych aktualizacji CCleaner, jeśli podczas ostatniej ingerencji hakerom udało się zdobyć stary certyfikat.
„Jesteśmy pewni, po podjęciu wszystkich tych kroków, że nasi użytkownicy CCleaner są bezpieczni i nienaruszeni”, powiedział Baloo.
Wykonawca antywirusa potwierdził, że incydent został zbadany wspólnie z czeską agencją wywiadowczą, służbą informacji bezpieczeństwa, lokalną czeską policją i niezależnym zespołem kryminalistycznym.
Poważne problemy Google
Uważa tak Seth Bloom, były generalny doradca Senackiej Podkomisji Antymonopolistycznej i były adwokat w Departamencie Antymonopolistycznym Departamentu Sprawiedliwości.
Podczas panelu zorganizowanego przez Save Journalism Project powiedział, że Google ma „poważne kłopoty” w związku z kontrolą antymonopolową wielu różnych instytucji. Departament Sprawiedliwości przejął śledztwo od FTC. Takie działanie jest rzadkie i świadczy o powadze dochodzenia. Podobno ponadto 48 stanów bada Google, a kontrole mają poparcie polityczne zarówno Demokratów jak i Republikanów.
Save Journalism Project został założony przez zwolnionych reporterów. Organizacja obwinia Google i Facebook za zdziesiątkowanie dochodów z reklam dla niezależnych gazet i czasopism, co skutkuje ogromną liczbą zwolnień i naraża na szwank bezpłatną prasę.
Według amerykańskiego prawa antymonopolowego monopole nie są nielegalne, ale postępowanie wykluczające jest nielegalne. Śledczy z USA prawdopodobnie będą śledzić europejskie dochodzenia antymonopolowe, w wyniku których nałożono szereg ogromnych grzywien o łącznej wartości ponad 9 miliardów dolarów. Bloom wskazał na sukces dochodzeń UE, w których Google uznał winę promowania własnych firm nad innymi i otrzymał grzywnę w wysokości 5 miliardów dolarów.
Zgadnij, kto wrócił?
A właściwie nigdy nie zniknął. Cozy Bear grupa hakerów – znana również jako APT29 – jest powiązana z rosyjską służbą wywiadowczą i obok rosyjskiej grupy hakerskiej Fancy Bear, była zaangażowana w wiele głośnych ataków w latach 2014-2017.
Rosyjska operacja szpiegostwa cybernetycznego, która była jedną z grup włamujących się do Demokratycznego Komitetu Narodowego przed wyborami prezydenckimi w USA w 2016 r.,
Od tego czasu Cozy Bear wydawało się milczeć, ale teraz analitycy bezpieczeństwa cybernetycznego w ESET opisali szczegółowo, w jaki sposób grupa – którą nazywają Dukes – kontynuowała swoją działalność, próbując pozostać w ukryciu.
Nowo odkryta kampania – nazwana przez naukowców operacją Ghost – rozpoczęła się w 2013 roku i trwała do 2019 roku, co oznacza, że grupa nigdy nie zaprzestała działalności szpiegowskiej. Była jedynie zajęta atakami na departamenty rządowe w Europie i poza nią.
W atakach wykorzystujących cztery nowe rodziny złośliwego oprogramowania, Cozy Bear atakował ministerstwa spraw zagranicznych w co najmniej trzech różnych krajach w Europie, a także ambasadę USA w kraju Unii Europejskiej.
Badacze przypisali Operację Ghost Cozy Bear, ponieważ ataki wykorzystują złośliwe oprogramowanie backdoor związane z poprzednią aktywnością grupy – MiniDuke – chociaż ta wersja wydaje się być zaktualizowana.
Podobnie jak inne kampanie Cozy Bear, ataki rozpoczynają się od ukierunkowanych wiadomości phishingowych typu „spear phishing”, które mają zachęcić ofiary do kliknięcia złośliwego linku lub pobrania złośliwego oprogramowania za pośrednictwem załącznika – jednak początkowe wiadomości e-mail zawierające kompromitujące linki nie zostały jeszcze zidentyfikowane.