Affaire CCleaner : Avast en dit un peu plus sur le hack de 2017

L'été dernier avait été un vrai ascenseur émotionnel pour Avast, pouvant à peine se réjouir d'avoir acheté Piriform (éditeur de CCleaner) que l'entreprise avait dû faire face aux déboires d'un CCleaner vérolé ayant été téléchargé sur au moins 2,27 millions de postes ! Depuis, nous avons déjà pu découvrir quelques détails du code du CCleaner vérolé, ou encore la liste des entités réellement ciblées par cette attaque.

Mais pour Avast le travail ne s’était visiblement pas arrêté là, et hier l’éditeur du célèbre antivirus a donc partagé certains détails de l’attaque encore assez flous. Petit rappel, l'attaque avait prise place par l’intermédiaire d'une mise à jour de CCleaner modifiée par des hackers afin d'y inclure une porte d'entrée dérobée; une version de CCleaner qui avait ensuite eu environ un mois pour se répandre chez les utilisateurs. Mais la manière dont les attaquants avaient dans un premier temps pu s'introduire avec succès dans plateforme de Piriform restait encore un mystère, jusqu'à aujourd'hui.

Le CTO et chef de la sécurité chez Avast, Ondrej Vlcek, a ainsi expliqué que les intrus auraient eu accès au réseau Piriform le 11 mars 2017, soit 4 mois avant le rachat de la compagnie par Avast. De ce fait, il s'est avéré que d'une manière ou d'un autre, la ou les personnes responsables de l'attaque auraient en réalité réussi à obtenir les certificats d'identifications (prétendument dérobés) requis pour se connecter à un compte de bureau à distance TeamViewer sur un PC de développement interne à l'entreprise. *Snif Snif* De loin il faut tout de même reconnaître que ça a  toujours encore un peu l'odeur d'un inside job pur et simple... Mais peu importe.

While we don't know how the attackers got their hands on the credentials, we can only speculate that the threat actors used credentials the Piriform workstation user utilized for another service, which may have been leaked, to access the TeamViewer account".

Une fois en place, les intrus auraient ensuite procédé à l'installation du malware ShadowPad sur deux des machines compromises, pour ensuite se servir du keylogger afin de gagner ensuite un accès plus en profondeur des systèmes de Piriform. Un travail de longue haleine qui aura ainsi totalement échappé à la vigilance de Piriform, sachant que la première version contaminée de CCleaner avait été publiée le 2 août, soit tout de même presque 5 mois après les premières intrusions présumées.

Nous connaissons la suite : après son installation, le CCleaner vérolé pu ensuite procéder en toute quiétude au déploiement de ShadowPad sur une quarantaine de PC, tous des cibles de haut vol et essentiellement des compagnies Tech et de télécommunication. Enfin, malgré de récents soupçons, à en croire Vlcek, aucune preuve ne fut découverte quant à l’existence d'une potentielle troisième phase de l'attaque via ShadowPad sur les PC infectés.

Pour Avast, la leçon à retenir parait être assez claire. Premièrement, les efforts et les travaux réalisés pendant les fusions et acquisitions se doivent désormais d'aller bien au-delà des simples aspects légaux et financiers. En ce sens, c'est un rappel de l'importance de la cybersécurité au sein des entreprises, y compris lors des processus d'acquisitions. Deuxièmement, il est urgent de reconsidérer la sécurité d'un commerce de bout en bout, y compris l’approvisionnement et la distribution. Un attaquant essaiera toujours de trouver le point le plus faible au sein d'une entreprise, un produit télécharge des millions de fois représente de ce fait une cible très attrayante. Encore une fois, selon Avast, il est primordial de prioriser les efforts et les investissements en faveur d'une chaîne de distribution correctement sécurisée. Une bonne conclusion pour cette péripétie ? (Source : Techspot)

Et zou, nettoyage sécurisé terminé !