RMM yazılım geliştiricisi TeamViewer, gece yarısı Blizzard olarak bilinen Rus devlet destekli bir hack grubunun bu hafta kurumsal ağlarının ihlalinin arkasında olduğuna inanıldığını söylüyor.
Dün, BleepingComputer, TeamViewer'ın ihlal edildiğini ve siber güvenlik uzmanlarının ve sağlık kuruluşlarının bağlantılarını izlemeleri için müşterileri ve kuruluşları uyarmaya başladığını bildirdi.
TeamViewer, iç ağlardaki cihazların uzaktan izleme ve yönetimi (RMM) için işletmeler ve tüketiciler tarafından yaygın olarak kullanılmaktadır. Siber güvenlik olayının kapsamı bilinmediğinden, uzmanlar paydaşları daha ileri ağlara erişmek için TeamViewer ihlalini kullanmaya çalışan tehdit aktörlerini gösterebilecek şüpheli bağlantıları izlemeleri için uyarmaya başladılar.
Bugün, TeamViewer, BleepingComputer ile güncellenmiş bir ifade paylaştı ve saldırıyı gece yarısı Blizzard'a (APT29, Nobelium, Cozy Bear) atfettiklerini belirtti.
TeamViewer, üretim ortamlarının değil, iç kurumsal ağlarının 26 Haziran Çarşamba günü bir çalışanın kimlik bilgileri kullanılarak ihlal edildiğine inandıklarını söyledi.
"Soruşturmanın mevcut bulguları, 26 Haziran Çarşamba günü, kurumsal BT ortamımızdaki standart bir çalışan hesabının kimlik bilgilerine bağlı bir saldırıya işaret ediyor."
"Sürekli güvenlik izlemeye dayanarak, ekiplerimiz bu hesabın şüpheli davranışlarını belirlediler ve olay müdahale önlemlerini hemen eyleme geçirdi. Dış olay müdahale desteğimizle birlikte, şu anda bu etkinliği APT29 / Midnight Blizzard olarak bilinen tehdit aktörüne bağlıyoruz."
Şirket, soruşturmalarının saldırıda üretim ortamına veya müşteri verilerine erişildiğine dair hiçbir belirti göstermediğini ve kurumsal ağlarını ve ürün ortamlarını birbirinden izole ettiklerine dair bir gösterge göstermediğini vurguladı.
TeamViewer'ın açıklamasında, "En iyi uygulama mimarisini takiben, kurumsal BT, üretim ortamı ve TeamViewer bağlantı platformunun güçlü bir ayrımına sahibiz."
"Bu, farklı ortamlar arasındaki yetkisiz erişimi ve yanal hareketi önlemeye yardımcı olmak için tüm sunucuları, ağları ve hesapları kesinlikle ayrı tuttuğumuz anlamına gelir. Bu ayrım, 'savunma derinlemesine' yaklaşımımızdaki çoklu koruma katmanlarından biridir."
Bu, TeamViewer müşterileri için güven verici olsa da, soruşturma ilerledikçe daha fazla bilginin daha sonra ortaya çıkması için böyle olaylarda yaygındır. Bu özellikle gece yarısı Blizzard kadar gelişmiş bir tehdit aktörü için geçerlidir.
Bu nedenle, tüm TeamViewer müşterilerinin çok faktörlü kimlik doğrulamasını etkinleştirmeleri, yalnızca yetkili kullanıcıların bağlantı kurabilmesi ve ağ bağlantılarını ve TeamViewer günlüklerini izleyebilmesi için bir izin ve blok listesi oluşturması önerilir.
BleepingComputer, soruşturmaya kimin yardımcı olduğu ve çalışan kimlik bilgilerinin nasıl tehlikeye atıldığı ancak şu anda yanıt almadığı hakkında daha fazla soru ile TeamViewer ile temasa geçti.
Gece yarısı Blizzard (diğer adıyla Cozy Bear, Nobelium ve APT29), Rusya'nın Dış İstihbarat Servisi (SVR) ile ilişkili olduğuna inanılan gelişmiş bir devlet destekli hack grubudur.
Tehdit aktörleri, verileri sessizce çalmak ve iletişimleri izlemek için hükümeti ve kurumsal ağları ihlal ettikleri siber casusluk ile ilişkili çok çeşitli saldırılarla bağlantılıdır.
ABD hükümeti, korsanlık grubunu 2020'de kötü şöhretli Solarwinds tedarik zinciri saldırısına bağladı ve burada tehdit aktörleri şirketi geliştirici ortamına erişmek için ihlal etti. Oradan, bir Windows DLL dosyasına kötü niyetli bir arka kapı eklediler ve daha sonra otomatik bir güncelleme platformu aracılığıyla bir tedarik zinciri saldırısında SolarWinds müşterilerine itildi.
Bu DLL, tehdit aktörlerinin yüksek değerli hedefleri izlemelerine, ağları ihlal etmesine ve ortamlarından verileri çalmasına izin verdi.
Daha yakın zamanlarda, gece yarısı Blizzard bir dizi başarılı siber saldırıda dikkatlerini Microsoft'a çevirdi.
2023'te tehdit aktörleri, şirketin liderliği, siber güvenlik ve hukuk ekiplerinden e -postaları izlemek ve çalmak için Microsoft'un kurumsal değişim çevrimiçi hesaplarını ihlal etti. Özellikle ilgi çekici olan Microsoft, başlangıçta kendileriyle ilgili bilgileri bulmak için e -posta hesaplarını hedeflediklerini söylüyor.
Mart 2024'te Microsoft, tehdit aktörlerinin bir önceki olayda çalınan e -postalarda bulunan sırları kullanarak sistemlerini bir kez daha ihlal ettiğini söyledi.
Gece yarısı Blizzard, bu ihlalin bir parçası olarak bazı dahili sistemlerine ve kaynak kodu depolarına erişti.
Her iki olayda da, tehdit aktörleri kurumsal hesapları ihlal etmek için şifre sprey saldırıları kullandılar ve daha sonra bu hesapları hedeflenen sistemlerdeki diğer hesaplara ve cihazlara sıçrama tahtası olarak kullandılar.
Microsoft daha önce gece yarısı Blizzard'ın saldırılara yanıt vermek ve araştırmak için rehberliği paylaşmıştı.
TeamViewer'ın Kurumsal Ağı, Hack olduğu iddiasıyla ihlal edildi
ABD Rus Gru hacker'ı ima ediyor, 10 milyon dolarlık ödül sunuyor
ABD Yaptırımları 12 Kaspersky Laboratuvar Rus teknoloji sektöründe çalışmak için yöneticiler
Biden Bans Kaspersky Antivirüs Yazılımı İçimizde Güvenlik Endişeleri Üzerindeki
DDOS Saldırıları Seçimler Başlandıkça AB Siyasi Partilerini Hedef
Kaynak: Bleeping Computer