Come ha detto @schroeder, Piriform / Avast non ha ancora rilasciato dettagli su come il software fosse backdoor. Detto questo, possiamo ancora capire come potrebbe essersi verificato con un alto livello di certezza (vale a dire, qualche congettura e logica).
Secondo i rapporti di Avast, credono che l'attaccante dietro la minaccia fosse altamente avanzato - cioè - una minaccia persistente avanzata o un APT. Questo tipo di attore non si basa solo sulle vulnerabilità divulgate pubblicamente, ma ha anche accesso ad altre fonti di exploit: exploit zero day o anche accesso fisico.
Fino all'avvistamento di Avast su come l'attacco ai loro sistemi ha avuto luogo, i seguenti sono possibili vettori di attacco attraverso i quali potrebbero essere stati compromessi:
- Sfruttamento di zero giorni sull'infrastruttura
-
Attacchi di social engineering ai propri sviluppatori - per indurli a eseguire / backdoor il proprio codice inconsapevolmente.
Alla luce del loro post sul blog che afferma che l'attacco era un APT, io sono tralasciando altri possibili vettori come "Era un lavoro interno" - l'obiettivo sembra essere stato molto più grande ed è improbabile che sia stato così piccolo come potrebbe altrimenti significare.
Finora, abbiamo solo visto come qualcuno potrebbe aver violato i server di produzione. Ma che dire del backdooring del codice?
Bene, una volta che hai accesso a un sistema, quella parte è decisamente molto più semplice. Potrebbero aver introdotto di nascosto nella loro backdoor attraverso commit più ampi nei sistemi interni (indovinando qui) dove sarebbero probabilmente passati inosservati una volta che uno sviluppatore ha firmato il codice, oppure avrebbero potuto correggere i binari stessi sul server di aggiornamento dopo aver rubato il codice certificato di firma (che sembra più probabile). Rilevare queste minacce prima che possano fare danni reali è più difficile di quanto sembri.
Aggiornerò questa risposta con ulteriori dettagli man mano che entrano, ma per ora è tutto ciò che otteniamo come outsider.