Avast is zelf slachtoffer van hackincident

Een hacker heeft waarschijnlijk maandenlang toegang gehad tot het interne netwerk van securitysoftware leverancier Avast. Dat heeft het bedrijf maandag zelf naar buiten gebracht.

De hacker wist vpn-toeganggegevens van een medewerker te bemachtigen en kon zo binnendringen. Omdat de medewerker in kwestie geen admin-rechten had, moest de hacker vervolgens nog beheerdersrechten verkrijgen. Dat is de aanvaller gelukt, erkent Avast CISO Jaya Baloo tegenover ZDnet.

De hack werd op 23 september ontdekt en de sporen van de inbraak gaan terug tot zeker 14 mei van dit jaar. Het Microsoft Advanced Threat Analytics (ATA) dashboard van Avast gaf weliswaar beveiligingswaarschuwingen, maar die werden genegeerd omdat de technici dachten dat het vals-positieve meldingen waren.

Aanleiding voor nader onderzoek was de plotselinge uitbreiding van gebruikersrechten, aldus Baloo. Vervolgens heeft Avast de aanvaller twee tot drie weken geobserveerd om te zien wat hij van plan was. Vermoed wordt dat de hacker malware in de CCleaner software heeft willen verstoppen, vergelijkbaar met een incident uit 2017.

Op 15 oktober is het vpn-account waar de hacker gebruik van maakte, afgesloten. Voor de zekerheid heeft Avast wel het digitale certificaat van CCleaner vernieuwd en is er een update van de schoonmaaksoftware uitgebracht. Avast is er daarom van overtuigd dat alle CCleaner-gebruikers goed beveiligd zijn.

Avast doet nog onderzoek naar het beveiligingsincident in samenwerking met onder meer de Tsjechische politie, externe forensisch onderzoekers en de Tsjechische inlichtingen- en informatiedienst.