骇客入侵Avast以危害CCleaner，捷克情报机构指中国骇客最为可疑

捷克资安业者Avast本周指出，骇客利用所窃取的使用者凭证与临时性的VPN档案骇进该公司网络，并准备对CCleaner发动攻击，但在该公司察觉此事之后，已成功阻止骇客的入侵，并为安全起见，已于10月中更新了CCleaner。

参与共同调查的捷克情报机构BIS，据取得的资料分析指出，高度怀疑此次入侵事件背后主使者为中国骇客，企图控制CCleaner，并据以控制使用者的电脑。

Avast资讯安全长Jaya Baloo说明，他们是在今年的9月23日发现内部网络中的可疑行动，因而展开全面性的调查，并于10月1日收到MS ATA/VPN的警告，声称有一隶属于该公司VPN位址的内部IP，不当复制了目录服务。

追查之后发现此一传输是来自英国的公共IP，骇客利用一个临时的VPN档案与Avast员工凭证入侵了Avast内部网络，还进一步取得了网域管理员权限。Baloo说，这个临时的VPN档案理应已被关闭，且存取时也未要求双因素认证。

纪录显示，骇客多次利用同一个VPN档案与不同的员工凭证入侵Avast网络，第一次出现在今年5月14日，最后一次则是10月4日，且证据指出骇客的目标为免费系统清理软件CCleaner。

于是Avast顺延了原本要在9月25日发表的CCleaner，针对CCleaner进行全面的安全检查，还回溯检查过去的CCleaner版本，证实了所有的CCleaner版本都是干净的，并在10月15日透过自动更新发布了全新的CCleaner 5.63，也撤销CCleaner先前所使用的签章。

Baloo指出，他们在观察到骇客的行为之后刻意维持该VPN档案的存在以持续追踪，一直到确认骇客的意图并发布新版CCleaner之后才将它关闭，同时重设所有员工的凭证，未来也将更注重整体企业环境的安全性。

Avast总经理David Peterson表示，全球软件公司日益成为破坏性攻击、间谍组织或是国家级骇客的攻击目标，过去几年已出现许多资料外泄或供应链的攻击事件，CCleaner过去就曾是骇客的攻击目标，因此他们会更严格地监控与测试相关系统，并与执法机构及国际组织共同追踪骇客的行为。

CCleaner为英国软件公司Piriform在2003年所开发的免费系统清理软件，Avast则是在2017年的7月收购了Piriform，但CCleaner在2017年9月就传出遭骇客植入后门，且不论是自云端或官网下载都无法幸免于难，当时估计至少波及200万台电脑。Avast表示，他们并不确定这两次的攻击行动是否来自同一伙人。