Como dijo @schroeder, Piriform / Avast aún no ha publicado detalles sobre cómo el software estaba bloqueado. Dicho esto, todavía podemos descubrir cómo pudo haber ocurrido con un alto nivel de certeza (es decir, algunas conjeturas y lógica).
Según los informes de Avast, creen que el atacante detrás de la amenaza era altamente avanzado, es decir, una Amenaza Persistente Avanzada o APT. Este tipo de actor no se basa únicamente en las vulnerabilidades divulgadas públicamente, sino que también tiene acceso a otras fuentes de exploits: exploits de día cero o incluso acceso físico.
Hasta que Avast revela cómo ocurrió el ataque en sus sistemas, los siguientes son posibles vectores de ataque a través de los cuales podrían haber sido comprometidos:
- Explotación de cero días en su infraestructura
-
Ataques de ingeniería social a sus desarrolladores : para que ejecuten / ejecuten su propio código sin saberlo.
A la luz de su publicación de blog que afirma que el ataque fue una APT, estoy omitiendo otros posibles vectores, como 'Era un trabajo interno': el objetivo parece haber sido mucho más grande y es poco probable que haya sido tan pequeño como podría implicar esto.
Hasta ahora, solo hemos visto cómo alguien pudo haber irrumpido en los servidores de producción. Pero, ¿qué hay del backdooring del código?
Bueno, una vez que tienes acceso a un sistema, esa parte es definitivamente mucho más fácil. Podrían haber contrabandeado en su puerta trasera a través de confirmaciones más grandes en sistemas internos (adivinando aquí) donde probablemente habrían pasado desapercibidos una vez que un desarrollador firmó el código, o podrían haber corregido los archivos binarios en el servidor de actualizaciones después de robar el Certificado de firma (lo que parece más probable). Detectar estas amenazas antes de que puedan hacer un daño real es más difícil de lo que parece.
Actualizaré esta respuesta con más detalles a medida que vayan llegando, pero por ahora, eso es todo lo que tenemos como forasteros.