Κυβερνοεπίθεση στην TeamViewer από την ρωσική ομάδα APT29
Ο παγκόσμιος πάροχος λύσεων απομακρυσμένης συνδεσιμότητας και ψηφιοποίησης του χώρου εργασίας TeamViewer δέχτηκε κυβερνοεπίθεση από τη ρωσική κρατική ομάδα Midnight Blizzard/APT29.
Η εταιρεία αποκάλυψε ότι εντόπισε ύποπτη συμπεριφορά σε έναν λογαριασμό υπαλλήλου στο εταιρικό IT περιβάλλον της την Τετάρτη, 26 Ιουνίου. Η ίδια έχει συνδέσει το περιστατικό με τα διαπιστευτήρια αυτού του λογαριασμού.
Η TeamViewer είπε ότι η ομάδα ασφαλείας της ήταν σε θέση να περιορίσει την επίθεση στο εταιρικό της περιβάλλον πληροφορικής, χωρίς να υπάρχουν στοιχεία ότι ο παράγοντας απειλής απέκτησε πρόσβαση στο περιβάλλον προϊόντων ή στα δεδομένα πελατών.
«Ακολουθώντας την αρχιτεκτονική βέλτιστων πρακτικών, έχουμε έναν ισχυρό διαχωρισμό της εταιρικής πληροφορικής, του περιβάλλοντος παραγωγής και της πλατφόρμας συνδεσιμότητας TeamViewer. Αυτό σημαίνει ότι διατηρούμε όλους τους διακομιστές, τα δίκτυα και τους λογαριασμούς αυστηρά χωριστά για να βοηθήσουμε στην αποτροπή μη εξουσιοδοτημένης πρόσβασης και πλευρικής μετακίνησης μεταξύ των διαφορετικών περιβαλλόντων», δήλωσε η εταιρεία.
Η TeamViewer πρόσθεσε ότι βρίσκεται σε «συνεχή ανταλλαγή» με παρόχους πληροφοριών απειλών και αρμόδιες αρχές καθώς συνεχίζει να διερευνά το περιστατικό.
Επίθεση που αποδίδεται στη Ρωσική κρατική ομάδα
Η TeamViewer, μαζί με την υποστήριξη εξωτερικής απόκρισης συμβάντων, αποδίδει επί του παρόντος την επίθεση στον παράγοντα απειλής Midnight Blizzard/APT29.
Η Midnight Blizzard πρόκειται για μια ομάδα APT που συνδέεται με την υπηρεσία εξωτερικών πληροφοριών της Ρωσίας (SVR). Είναι γνωστό ότι ειδικεύεται σε επιχειρήσεις κατασκοπείας και συλλογής πληροφοριών εναντίον κυβερνήσεων και κρίσιμων βιομηχανιών.
Τον Ιανουάριο του 2024, η Microsoft αποκάλυψε ότι ο όμιλος παραβίασε τους λογαριασμούς email ορισμένων από τα ανώτερα στελέχη της. Αργότερα, η εταιρεία αποκάλυψε ότι η Midnight Blizzard χρησιμοποίησε πληροφορίες από τα εταιρικά της συστήματα ηλεκτρονικού ταχυδρομείου για να αποκτήσει πρόσβαση στον πηγαίο κώδικα και στα εσωτερικά συστήματα.
Τον Ιούνιο του 2024, η γαλλική υπηρεσία κυβερνοασφάλειας ANSSI δήλωσε ότι η ομάδα στοχεύει συνεχώς γαλλικές διπλωματικές οντότητες και δημόσιους οργανισμούς από το 2021.
Σχολιάζοντας την ιστορία, ο John Hultquist, Mandiant Chief Analyst, Google Cloud, εξήγησε ότι η Midnight Blizzard είναι γνωστό ότι διεξάγει επιθέσεις στην αλυσίδα εφοδιασμού σε εταιρείες τεχνολογίας για να αποκτήσει πολύτιμες πληροφορίες για τους πελάτες τους για λογαριασμό του ρωσικού κράτους.
“Γενικά αναζητούν πληροφορίες για τις εξωτερικές υποθέσεις, με ιδιαίτερη έμφαση στην υποστήριξη της Ουκρανίας, και στοχεύουν κυβερνήσεις και σχετικούς οργανισμούς για αυτές τις πληροφορίες. Πρόσφατα στόχευσαν και πολιτικά κόμματα στη Γερμανία”, είπε.
Η υγειονομική περίθαλψη προειδοποιήθηκε για ενεργή εκμετάλλευση
Οι απομακρυσμένες υπηρεσίες λογισμικού όπως το TeamViewer χρησιμοποιούνται συχνά από φορείς απειλών για να αποκτήσουν αρχική πρόσβαση και να εδραιώσουν την επιμονή στα δίκτυα-στόχους.
Το TeamViewer χρησιμοποιείται σε διάφορους κρίσιμους τομείς, συμπεριλαμβανομένων της μεταποίησης, της υγειονομικής περίθαλψης και των οργανισμών του δημόσιου τομέα.
Το Κέντρο Διαμοιρασμού και Ανάλυσης Πληροφοριών Υγείας των ΗΠΑ (H-ISAC) εξέδωσε ένα δελτίο απειλών που προειδοποιεί τους οργανισμούς υγειονομικής περίθαλψης για την ενεργό εκμετάλλευση του TeamViewer.
Η υπηρεσία συνιστά στους χρήστες να ενεργοποιούν τον έλεγχο ταυτότητας δύο παραγόντων και να χρησιμοποιούν τη λίστα επιτρεπόμενων και τη λίστα αποκλεισμού για να ελέγχουν ποιος μπορεί να συνδεθεί στις συσκευές τους, μεταξύ άλλων μέτρων.
Ο σκοπός της κυβερνοεπίθεσης
Η εταιρεία TeamViewer ανακάλυψε ότι η Midnight Blizzard χρησιμοποίησε έναν παραβιασμένο λογαριασμό υπαλλήλου για να αντιγράψει ευαίσθητα δεδομένα καταλόγου εργαζομένων κατά τη διάρκεια της επίθεσης. Αυτές οι πληροφορίες περιλαμβάνουν ονόματα, εταιρικά στοιχεία επικοινωνίας και κρυπτογραφημένους κωδικούς πρόσβασης υπαλλήλων για το εσωτερικό εταιρικό περιβάλλον πληροφορικής.
Οι εργαζόμενοι και οι αρμόδιες αρχές έχουν ενημερωθεί για την παραβίαση δεδομένων όπως πρόσθεσε η εταιρεία στην ενημέρωση ασφαλείας της στις 30 Ιουνίου 2024.
Η TeamViewer δήλωσε ότι έχει μετριάσει τον κίνδυνο που σχετίζεται με τους κλεμμένους κρυπτογραφημένους κωδικούς πρόσβασης σε συνεργασία με τη Microsoft και έχει σκληρύνει τις διαδικασίες ελέγχου ταυτότητας για τους υπαλλήλους σε «μέγιστο επίπεδο». Ξεκίνησαν επίσης οι εργασίες για την αναδόμηση του εσωτερικού εταιρικού IT περιβάλλοντος της εταιρείας σε μια κατάσταση πλήρως αξιόπιστη.
Η εταιρεία επιβεβαίωσε επίσης ότι η επίθεση περιορίστηκε στο εσωτερικό εταιρικό IT περιβάλλον και δεν έφτασε στο περιβάλλον προϊόντων, στην πλατφόρμα συνδεσιμότητας ή σε δεδομένα πελατών.
