Cyberthreat.id – Pembuat perangkat lunak keamanan siber asal Republik Ceko, Avast, mengungkapkan terjadinya pelanggaran keamanan yang berdampak pada jaringan internalnya.

Avast mengatakan, seperti dikutip dari ZDNet, Senin (21 Oktober 2019), serangan ini untuk kedua kalinya menyerang perangkat lunak CCleaner.

Avast Chief Information Security Officer (CISO), Jaya Baloo, mengatakan, serangan tersebut diyakini untuk memasukkan malware ke dalam perangkat lunak Ccleaner; mirip dengan insiden terkenal dari CCleaner yang pernah terjadi 2017.

Penyusupan itu memang baru terdeteksi pada 23 September lalu, tapi bukti yang ditemukan perusahaan menunjukkan penjahat mencoba menyerang sejak 14 Mei 2019.

Menurut dia, pelanggaran itu terjadi karena penyerang mengkompromikan kredensial VPN karyawan; mendapatkan akses ke akun yang tidak dilindungi autentikasi multifaktor.

"Pengguna [karyawan] yang kredensialnya dikompromikan dan dikaitkan dengan IP memang tidak memiliki hak admin domain. Namun, melalui eskalasi hak istimewa yang berhasil, penyerang berhasil memperoleh hak istimewa admin domain," kata Baloo.

Baloo menambahkan Avast sengaja membiarkan profil VPN yang dikompromikan aktif, dengan tujuan melacak penyerang dan mengamati tindakan mereka. Ini berlangsung hingga 15 Oktober lalu ketika perusahaan selesai mengaudit rilis CCleaner sebelumnya, dan mendorong pembaruan (update).

Pada saat yang sama, Avast juga mengubah sertifikat digital yang digunakannya untuk menandatangani pembaruan CCleaner. Pembaruan baru ditandatangani dengan sertifikat digital baru, dan perusahaan mencabut sertifikat sebelumnya yang digunakan untuk menandatangani rilis CCleaner yang lebih lama.

Itu dilakukan untuk mencegah penyerang menggunakan untuk menandatangani pembaruan CCleaner palsu seandainya peretas berhasil mendapatkan sertifikat lama selama intrusi baru-baru ini.

"Setelah mengambil semua tindakan pencegahan ini, kami yakin untuk mengatakan bahwa pengguna CCleaner kami dilindungi dan tidak terpengaruh," kata Baloo.

Avast saat ini sedang menyelidiki insiden tersebut bersama dengan Badan Intelijen Ceko, Layanan Informasi Keamanan (BIS), Divisi Keamanan Cybersecurity Kepolisian setempat, dan tim forensik eksternal.

Avast mengatakan belum ada bukti siapa di balik serangan tersebut. Namun, perusahaan menunjukkan bahwa intrusi dilakukan oleh aktor ancaman yang berpengalaman.

"Dari wawasan yang telah kami kumpulkan sejauh ini, jelas bahwa ini adalah upaya yang sangat canggih terhadap kami yang memiliki niat untuk tidak meninggalkan jejak penyusup atau tujuan mereka, dan bahwa aktor sedang berkembang dengan hati-hati luar biasa agar tidak terdeteksi," kata Baloo.

Avast sebelumnya menerima pujian dari publik atas keterbukaan yang ditunjukkannya saat menyelidiki peretasan CCleaner 2017. Mereka juga menerbitkan beberapa pembaruan tentang insiden tersebut

Peretasan CCleaner 2017 terjadi sebelum Avast membeli Piriform, perusahaan pengembang CCleaner. Peretas melanggar jaringan Piriform melalui akun TeamViewer dan menanam malware di dalam CCleaner.

Para penyerang--diyakini sebagai kelompok peretas yang disponsori China--memasukkan malware yang hanya akan mengunduh muatan tahap kedua ketika CCleaner dipasang pada jaringan perusahaan besar.

Daftar target serangan kala itu, termasuk Cisco, Microsoft, Google, NEC, dan perusahaan besar lainnya. Avast mengatakan, ada 2,27 juta pengguna mengunduh perangkat lunak CCleaner yang tercemar pada 2017. Lalu, ada 1.646.536 komputer terinfeksi dengan trojan Floxif tahap pertama yang dipindai untuk target bernilai tinggi, tetapi hanya 40 komputer yang menerima trojan tahap kedua, backdoor yang lebih kuat.

Redaktur: Andi Nugroho