{"id":223838,"date":"2019-10-22T00:31:34","date_gmt":"2019-10-21T22:31:34","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=223838"},"modified":"2019-10-31T14:34:05","modified_gmt":"2019-10-31T13:34:05","slug":"abbis-avast-werhrt-cyber-angriff-auf-netzwerk-ab","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/10\/22\/abbis-avast-werhrt-cyber-angriff-auf-netzwerk-ab\/","title":{"rendered":"Abbis: AVAST wehrt Cyber-Angriff auf Netzwerk ab"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2019\/10\/22\/abbis-avast-werhrt-cyber-angriff-auf-netzwerk-ab\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Unbekannte hatten wohl ca. 6 Monate Zugang zum AVAST-Firmennetzwerk. Ziel soll angeblich eine erneute Kompromittierung der CCleaner-Software gewesen sein. AVAST behauptet, den Angriff abgewehrt zu haben.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/d48614091b5040258feda6aa561573e8\" alt=\"\" width=\"1\" height=\"1\" \/>Es ist ein ganz merkw\u00fcrdiger Vorgang, auf den mich Blog-Leser in <a href=\"https:\/\/borncity.com\/blog\/2017\/09\/19\/avast-stellungnahme-zur-ccleaner-backdoor\/#comment-79562\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Kommentar<\/a> aufmerksam gemacht haben. Der Versuch der Cyber-Spionage ist inzwischen von <a href=\"https:\/\/blog.avast.com\/de\/ccleaner-fights-off-cyberespionage-attempt-abiss\" target=\"_blank\" rel=\"noopener noreferrer\">AVAST best\u00e4tigt<\/a>.<\/p>\n<h2>Was ist bei AVAST passiert?<\/h2>\n<p>Am 23. September 2019 bemerkte AVAST verd\u00e4chtige Aktivit\u00e4ten in seinem Firmennetzwerk, wodurch eine Untersuchung eingeleitet wurde. Dazu wurden der tschechische Nachrichtendienst (BIS) und ein externes Forensik-Team hinzugezogen.<\/p>\n<p><img decoding=\"async\" title=\"Telekommunikations-Ger\u00e4te\" src=\"https:\/\/i.imgur.com\/TMYrvtF.jpg\" alt=\"Telekommunikations-Ger\u00e4te\" \/><br \/>\n(Quelle: Pexels <a href=\"https:\/\/www.pexels.com\/de-de\/foto\/ausrustung-bedienung-business-computer-1054397\/\">Josh Sorenson<\/a>)<\/p>\n<p>Am 1. Oktober 2019 wurden dann Zugriffe auf das Netzwerk per VPN (MS ATA\/VPN) bemerkt. Es war ein Alarm ausgel\u00f6st worden, weil es eine b\u00f6sartige Replikation von Directory Services gegeben hatte. Dieser war \u00fcber eine interne IP-Adresse, die zu den von AVAST vergebenen VPN-Adressen geh\u00f6rte, eingeleitet worden. Der Nutzer hatte eigentlich keine Berechtigungen, zur Administration der Domain \u2013 konnte also eigentlich die Replikation der Directory Services nicht angesto\u00dfen haben. Offenbar war das Konto des Nutzers kompromittiert und die Angreifer hatten erfolgreich eine Ausweitung der Berechtigungen vorgenommen, um auf die Directory Services zugreifen zu k\u00f6nnen.<\/p>\n<p>Eine Analyse des Vorgangs ergab, dass der Zugriff erst als False Positive eingestuft worden war. Die VPN-Verbindung erfolgte \u00fcber eine in Gro\u00dfbritannien gehostete IP, wobei der Angreifer auch andere Endpunkte \u00fcber den gleichen VPN-Anbieter nutzte. Durch die Analyse der externen IPs wurde festgestellt, dass der Angreifer bereits seit dem 14. Mai 2019 versuchte, \u00fcber den kompromittierten VPN-Zugang (der keine 2FA verwendete) auf das AVAST-Netzwerk zuzugreifen. Offenbar waren die Zugriffe auch erfolgreich.<\/p>\n<p>Am 4. Oktober 2019 gab es die n\u00e4chste Aktivit\u00e4t. Im Blog-Beitrag listet AVAST die Zugriffe auf das eigene Netzwerk auf. Vermutet wird, dass f\u00fcr ein tempor\u00e4res Profil gestohlene Zugangsdaten verwendet wurden. AVAST leitete, laut eigener Auskunft, sofort Ma\u00dfnahmen zum Schutz seiner Product-Build-Umgebung ein.<\/p>\n<h2>Vermutung: CCleaner Build-Infrastruktur als Ziel<\/h2>\n<p>AVAST nimmt an, dass der Angriff ein weiterer Versuch gewesen ist, die CCleaner-Build-Umgebung im Rahmen eines Supply-Chain-Angriffs zu kompromittieren. Das hatte es bereits im Sommer 2017 gegeben \u2013 ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2017\/09\/19\/avast-stellungnahme-zur-ccleaner-backdoor\/\">AVAST-Stellungnahme zur CCleaner-Backdoor<\/a> u.a. \u00fcber eine Stellungnahme von AVAST zum Piriform-Hack berichtet. Dort wurden auch die oben erw\u00e4hnten Nutzer-Kommentare hinterlegt.<\/p>\n<p>Daher wurden die Releases f\u00fcr den CCleaner bereits am 25. September 2019, so AVAST, auf Eis gelegt. Die Releases wurden gepr\u00fcft und am 15. Oktober 2019 wurde ein neu signiertes Produktupdate an die CCleaner-Nutzer verteilt und gleichzeitig alte Zertifikate, die zum Signieren \u00e4lterer Versionen verwendet wurden, widerrufen. Gleichzeitig wurden der VPN-Zugang geschlossen und alle internen Zugangsdaten zur\u00fcckgesetzt. AVAST gibt sich sicher, dass keine Kunden durch kompromittierte Software gef\u00e4hrdet wurden.<\/p>\n<p>AVAST schreibt, dass es sich um einen sehr ausgefeilten Versuch gehandelt habe, bei dem die Angreifer versuchten, keine Spuren zu hinterlassen. Ob es die Angreifer aus 2017 waren, ist nicht bekannt. AVAST hat den Angriffsversuch 'Abiss' genannt, was sich von dem englischen Abyss (Abgrund) ableitet. Was tief blicken l\u00e4sst. Aktuell muss man das erst mal so stehen lassen und glauben\/hoffen, dass wirklich nichts bei AVAST kompromittiert worden ist.<\/p>\n<p>Der Vorgang zeigt wieder einmal, wie wackelig die ganze Sache geworden ist. <a href=\"https:\/\/techcrunch.com\/2019\/10\/21\/nordvpn-confirms-it-was-hacked\/\" target=\"_blank\" rel=\"noopener noreferrer\">Techcrunch berichtet hier,<\/a> dass NordVPN einen Hack in einem Daten-Center in 2018 eingestanden hat.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Unbekannte hatten wohl ca. 6 Monate Zugang zum AVAST-Firmennetzwerk. Ziel soll angeblich eine erneute Kompromittierung der CCleaner-Software gewesen sein. AVAST behauptet, den Angriff abgewehrt zu haben.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[2564,4328],"class_list":["post-223838","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-hack","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/223838","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=223838"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/223838\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=223838"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=223838"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=223838"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}