Sprawdź szkolenie NIS2 dla zarządów od sekuraka.
TeamViewer ponownie z problemami bezpieczeństwa
Od kilku dni, jednym ze stale rozwijanych tematów w świecie cyberbezpieczeństwa, jest niechciany gość w popularnym oprogramowaniu do zdalnego dostępu TeamViewer. W przeszłości producent padł już ofiarą chińskiej grupy APT. Tym razem pierwsze wiadomości o tym, że zauważono pewne nieprawidłowości, pojawiły się już w zeszłą środę, 26 czerwca. Tego samego dnia TeamViewer opublikował oświadczenie, w którym wspomniał, że mogło dojść do naruszenia bezpieczeństwa ich sieci korporacyjnej:
On Wednesday, 26 June 2024, our security team detected an irregularity in TeamViewer’s internal corporate IT environment. We immediately activated our response team and procedures, started investigations together with a team of globally renowned cyber security experts and implemented necessary remediation measures.
Ponadto od razu zaznaczono, że sieć wewnętrzna, której dotyczy naruszenie, jest niezależna od środowiska produkcyjnego i nie ma żadnych przesłanek, że doszło do naruszenia danych klientów. Był to jednak dopiero początek kłopotów. W czwartek zaczęły pojawiać się ostrzeżenia od NCC Group i Health-ISAC kierowane do swoich klientów i członków o tym, że grupa APT29 naruszyła bezpieczeństwo platformy TeamViewer i aktywnie ją wykorzystuje w atakach. Zalecono przeglądanie dzienników zdarzeń pod kątem nietypowego ruchu na zdalnym pulpicie.
W związku z pojawiającymi się ostrzeżeniami, zareagował także dział bezpieczeństwa TeamViewer, publikując aktualizację na swojej stronie. 28 czerwca zostały opublikowane wyniki wewnętrznych analiz, które zostały sporządzone razem z zewnętrznymi ekspertami.
Okazało się, że przejęto konto jednego z pracowników w korporacyjnym środowisku IT, ale zostało to wychwycone przez systemy bezpieczeństwa i wdrożono odpowiednie środki reagowania na incydenty:
Based on continuous security monitoring, our teams identified suspicious behavior of this account and immediately put incident response measures into action.
Aktywność przypisano rosyjskiej grupie sponsorowanej przez państwo – APT29 (Midnight Blizzard). Ponownie podkreślono, że atak odbył się w środowisku wewnętrznym i nie ma wpływu na środowisko produkcyjne. Wszystkie serwery, sieci i konta mogące dać dostęp do infrastruktury klientów TeamViewera nie zostały dotknięte atakiem, ponieważ są odseparowane. Tego samego wieczoru oświadczono w kolejnej aktualizacji, że wszystkie dotychczasowe ustalenia zostały potwierdzone.
W niedzielę 30 czerwca pojawiła się, jak dotychczas, ostatnia aktualizacja:
As the investigation progresses, we reconfirm that the attack has been contained to our internal corporate IT environment. Most importantly, our assessment reconfirms that it did not touch our separated product environment, nor the TeamViewer connectivity platform, nor any customer data.
Oprócz potwierdzenia tego, co już było wiadome, przekazano, że atakujący wykorzystali przejęte konto, aby skopiować dane z katalogu pracowników, tj. nazwiska, dane kontaktowe firmy i zaszyfrowane hasła do wewnętrznego środowiska IT. O tym fakcie poinformowano dotkniętych naruszeniem oraz wzmocniono procedury uwierzytelniania, wdrażając kolejne warstwy ochrony. Oprócz tego, TeamViewer przyznał, że rozpoczął przebudowę wewnętrznego środowiska, aby było bardziej zaufane. W reakcji na incydent pomogła firma Microsoft. Co ciekawe, pierwsze oświadczenie o tym, że za atakiem na TeamViewer stoi APT29 wydało NCC GroupSam zaatakowany potwierdził to, po tym jak Microsoft poinformował swoich klientów, że ta sama grupa wykradła ich adresy e-mail w niedawnej kampanii.
Firma nie odpowiedziała póki co na pytania, czego grupa wspierana przez Kreml, szukała w ich systemach.
Źródła:
https://www.teamviewer.com/en-us/resources/trust-center/statement/
https://therecord.media/teamviewer-cozy-bear-hack-confirmed
https://therecord.media/teamviewer-investigating-intrusion-it
https://thecyberexpress.com/teamviewer-data-breach-update/
https://www.securityweek.com/teamviewer-hack-officially-attributed-to-russian-cyberspies/
https://therecord.media/teamviewer-cyberattack-employee-directory-encrypted-passwords
~fc
