駭客入侵Avast以危害CCleaner，捷克情報機構指中國駭客最為可疑

捷克資安業者Avast本周指出，駭客利用所竊取的使用者憑證與臨時性的VPN檔案駭進該公司網路，並準備對CCleaner發動攻擊，但在該公司察覺此事之後，已成功阻止駭客的入侵，並為安全起見，已於10月中更新了CCleaner。

參與共同調查的捷克情報機構BIS，據取得的資料分析指出，高度懷疑此次入侵事件背後主使者為中國駭客，企圖控制CCleaner，並據以控制使用者的電腦。

Avast資訊安全長Jaya Baloo說明，他們是在今年的9月23日發現內部網路中的可疑行動，因而展開全面性的調查，並於10月1日收到MS ATA/VPN的警告，聲稱有一隸屬於該公司VPN位址的內部IP，不當複製了目錄服務。

追查之後發現此一傳輸是來自英國的公共IP，駭客利用一個臨時的VPN檔案與Avast員工憑證入侵了Avast內部網路，還進一步取得了網域管理員權限。Baloo說，這個臨時的VPN檔案理應已被關閉，且存取時也未要求雙因素認證。

紀錄顯示，駭客多次利用同一個VPN檔案與不同的員工憑證入侵Avast網路，第一次出現在今年5月14日，最後一次則是10月4日，且證據指出駭客的目標為免費系統清理軟體CCleaner。

於是Avast順延了原本要在9月25日發表的CCleaner，針對CCleaner進行全面的安全檢查，還回溯檢查過去的CCleaner版本，證實了所有的CCleaner版本都是乾淨的，並在10月15日透過自動更新發布了全新的CCleaner 5.63，也撤銷CCleaner先前所使用的簽章。

Baloo指出，他們在觀察到駭客的行為之後刻意維持該VPN檔案的存在以持續追蹤，一直到確認駭客的意圖並發布新版CCleaner之後才將它關閉，同時重設所有員工的憑證，未來也將更注重整體企業環境的安全性。

Avast總經理David Peterson表示，全球軟體公司日益成為破壞性攻擊、間諜組織或是國家級駭客的攻擊目標，過去幾年已出現許多資料外洩或供應鏈的攻擊事件，CCleaner過去就曾是駭客的攻擊目標，因此他們會更嚴格地監控與測試相關系統，並與執法機構及國際組織共同追蹤駭客的行為。

CCleaner為英國軟體公司Piriform在2003年所開發的免費系統清理軟體，Avast則是在2017年的7月收購了Piriform，但CCleaner在2017年9月就傳出遭駭客植入後門，且不論是自雲端或官網下載都無法倖免於難，當時估計至少波及200萬台電腦。Avast表示，他們並不確定這兩次的攻擊行動是否來自同一夥人。