Avast podaje, że cyberprzestępcom udało się dostać do sieci wewnętrznej za pośrednictwem loginu i hasła dla tymczasowego konta VPN. To było przez przypadek otwarte i nie wymagało przy logowaniu weryfikacji dwuskładnikowej. W ten sposób hakerzy uzyskali dostęp do firmowych komputerów. Konto nie miało wprawdzie uprawnień administracyjnych, ale dzięki udanej eskalacji uprawnień napastnicy szybko je uzyskali.
Połączenie zostało nawiązane za pośrednictwem publicznego IP od dostawcy z siedzibą w Wielkiej Brytanii. Po przeanalizowaniu wcześniejszych prób połączenia z identycznego adresu IP eksperci Avasta zauważyli, że cyberprzestępca starał się połączyć z siecią firmową przez VPN już 14 maja bieżącego roku. Kolejne próby następowały ponownie w maju, lipcu, wrześniu, a po wykryciu ataku jeszcze 4 października.
Przedstawiciele firmy nie są pewni tego, co dokładnie było celem ataku, ale podejrzewają, że chodziło o popularnego CCleanera. Ta aplikacja już w 2017 roku padła ofiarą hakerów – najprawdopodobniej chińskich – którym udało się umieścić w kodzie narzędzia szkodliwe oprogramowanie. To zostało zainstalowane następnie nawet na 2,3 miliona komputerów. Avast podaje, że w tym wypadku oprogramowanie nie zostało zainfekowane.
Zapewne zastanawiacie się do czego cyberprzestępcy wykorzystali uprawnienia administracyjne. Avast podaje, że ze względu na błyskawiczną reakcję infrastruktura nie ucierpiała w żaden sposób. Przedstawiciele producenta podkreślają, że przestępcy działali tak, aby nie zostawić po sobie żadnych śladów i za wszelką cenę uniknąć wykrycia. Czyżby był to tylko rekonesans?