Ο προγραμματιστής λογισμικού RMM,
TeamViewer
, λέει ότι μια ρωσική κρατική ομάδα hacking γνωστή ως
Midnight Blizzard
πιστεύεται ότι βρίσκεται πίσω από μια παραβίαση του εταιρικού τους δικτύου αυτή την εβδομάδα.
Χθες, η BleepingComputer ανέφερε ότι το TeamViewer είχε παραβιαστεί και ότι ειδικοί στον κυβερνοχώρο και οργανισμοί υγειονομικής περίθαλψης είχαν αρχίσει να προειδοποιούν τους πελάτες και τους οργανισμούς να παρακολουθούν τις συνδέσεις τους.
Το TeamViewer χρησιμοποιείται ευρέως από επιχειρήσεις και καταναλωτές για απομακρυσμένη παρακολούθηση και διαχείριση (RMM) συσκευών σε εσωτερικά δίκτυα. Καθώς το εύρος του περιστατικού κυβερνοασφάλειας δεν ήταν γνωστό, οι ειδικοί άρχισαν να προειδοποιούν τους ενδιαφερόμενους να παρακολουθούν για ύποπτες συνδέσεις που θα μπορούσαν να υποδεικνύουν ότι οι παράγοντες απειλής προσπαθούσαν να χρησιμοποιήσουν την παραβίαση του TeamViewer για να αποκτήσουν πρόσβαση σε περαιτέρω δίκτυα.
Σήμερα, το TeamViewer μοιράστηκε μια ενημερωμένη δήλωση με το BleepingComputer, δηλώνοντας ότι αποδίδουν την επίθεση στο Midnight Blizzard (APT29, Nobelium, Cozy Bear).
Η TeamViewer λέει ότι πιστεύει ότι το εσωτερικό εταιρικό τους δίκτυο, όχι το περιβάλλον παραγωγής τους, παραβιάστηκε την Τετάρτη, 26 Ιουνίου, χρησιμοποιώντας τα διαπιστευτήρια ενός υπαλλήλου.
“Τα τρέχοντα ευρήματα της έρευνας υποδεικνύουν μια επίθεση την Τετάρτη 26 Ιουνίου, η οποία συνδέεται με τα διαπιστευτήρια ενός τυπικού λογαριασμού υπαλλήλου στο εταιρικό μας περιβάλλον πληροφορικής”, αναφέρει το ενημερωμένο
Δήλωση TeamViewer
.
“Με βάση τη συνεχή παρακολούθηση ασφαλείας, οι ομάδες μας εντόπισαν ύποπτη συμπεριφορά αυτού του λογαριασμού και έθεσαν αμέσως σε εφαρμογή μέτρα αντιμετώπισης περιστατικών. Μαζί με την εξωτερική μας υποστήριξη απόκρισης συμβάντων, αποδίδουμε αυτήν τη δραστηριότητα στον παράγοντα απειλής γνωστό ως APT29 / Midnight Blizzard.”
Η εταιρεία τόνισε ότι η έρευνά της δεν έδειξε καμία ένδειξη ότι το περιβάλλον παραγωγής ή τα δεδομένα πελατών είχαν πρόσβαση στην επίθεση και ότι διατηρούν το εταιρικό τους δίκτυο και το περιβάλλον προϊόντων απομονωμένα το ένα από το άλλο.
“Ακολουθώντας την αρχιτεκτονική βέλτιστων πρακτικών, έχουμε έναν ισχυρό διαχωρισμό του εταιρικού IT, του περιβάλλοντος παραγωγής και της πλατφόρμας συνδεσιμότητας TeamViewer”, συνεχίζει η δήλωση του TeamViewer.
“Αυτό σημαίνει ότι διατηρούμε όλους τους διακομιστές, τα δίκτυα και τους λογαριασμούς αυστηρά χωριστά για να βοηθήσουμε στην αποτροπή μη εξουσιοδοτημένης πρόσβασης και πλευρικής κίνησης μεταξύ των διαφορετικών περιβαλλόντων. Αυτός ο διαχωρισμός είναι ένα από τα πολλαπλά επίπεδα προστασίας στην προσέγγισή μας “σε βάθος άμυνας”.
Αν και αυτό είναι καθησυχαστικό για τους πελάτες του TeamViewer, είναι σύνηθες σε περιστατικά όπως αυτό να βγαίνουν περισσότερες πληροφορίες αργότερα καθώς προχωρά η έρευνα. Αυτό ισχύει ιδιαίτερα για έναν ηθοποιό απειλών τόσο προχωρημένο όσο το Midnight Blizzard.
Επομένως, συνιστάται σε όλους τους πελάτες του TeamViewer να ενεργοποιούν τον έλεγχο ταυτότητας πολλαπλών παραγόντων, να δημιουργούν μια λίστα επιτρεπόμενων και αποκλεισμών, ώστε μόνο εξουσιοδοτημένοι χρήστες να μπορούν να κάνουν συνδέσεις και να παρακολουθούν τις συνδέσεις δικτύου και τα αρχεία καταγραφής του TeamViewer.
Η BleepingComputer επικοινώνησε με το TeamViewer με περαιτέρω ερωτήσεις σχετικά με το ποιος βοηθά στην έρευνα και πώς παραβιάστηκαν τα διαπιστευτήρια των υπαλλήλων, αλλά δεν έχει λάβει απάντηση αυτή τη στιγμή.
Midnight Blizzard
Το Midnight Blizzard (γνωστός και ως Cozy Bear, Nobelium και APT29) είναι μια προηγμένη ομάδα hacking που χρηματοδοτείται από το κράτος που πιστεύεται ότι σχετίζεται με την Υπηρεσία Εξωτερικών Πληροφοριών της
Ρωσία
ς (SVR).
Οι παράγοντες της απειλής έχουν συνδεθεί με μια μεγάλη ποικιλία επιθέσεων, που σχετίζονται κυρίως με την κατασκοπεία στον κυβερνοχώρο, στην οποία παραβιάζουν κυβερνητικά και εταιρικά δίκτυα για να κλέψουν σιωπηλά δεδομένα και να παρακολουθήσουν τις επικοινωνίες.
Η
κυβέρνηση των ΗΠΑ
συνέδεσε την ομάδα hacking με την περιβόητη επίθεση της αλυσίδας εφοδιασμού
SolarWinds
το 2020, όπου οι παράγοντες της απειλής παραβίασαν την εταιρεία για να αποκτήσουν πρόσβαση στο περιβάλλον προγραμματιστή της. Από εκεί, πρόσθεσαν μια κακόβουλη κερκόπορτα σε ένα αρχείο DLL των Windows που στη συνέχεια προωθήθηκε στους πελάτες της SolarWinds σε μια επίθεση αλυσίδας εφοδιασμού μέσω μιας πλατφόρμας αυτόματης ενημέρωσης.
Αυτό το DLL επέτρεψε στους παράγοντες απειλών να παρακολουθούν στόχους υψηλής αξίας, να παραβιάζουν δίκτυα και να κλέβουν δεδομένα από το περιβάλλον τους.
Πιο πρόσφατα, η Midnight Blizzard έστρεψε την προσοχή της στη Microsoft σε μια σειρά επιτυχημένων κυβερνοεπιθέσεων.
Το 2023, οι φορείς απειλών παραβίασαν τους εταιρικούς λογαριασμούς Exchange Online της Microsoft για να παρακολουθήσουν και να κλέψουν μηνύματα ηλεκτρονικού ταχυδρομείου από την ηγεσία, την ασφάλεια στον κυβερνοχώρο και τις νομικές ομάδες της εταιρείας. Ιδιαίτερο ενδιαφέρον, η Microsoft λέει ότι αρχικά στόχευσαν λογαριασμούς email για να βρουν πληροφορίες που σχετίζονται με τον εαυτό τους.
Τον Μάρτιο του 2024, η Microsoft είπε ότι οι φορείς απειλών παραβίασαν για άλλη μια φορά τα συστήματά τους χρησιμοποιώντας μυστικά που βρέθηκαν στα μηνύματα ηλεκτρονικού ταχυδρομείου που είχαν κλαπεί στο προηγούμενο περιστατικό.
Η Midnight Blizzard είχε πρόσβαση σε ορισμένα από τα εσωτερικά της συστήματα και τα αποθετήρια πηγαίου κώδικα ως μέρος αυτής της παραβίασης.
Και στα δύο περιστατικά, οι παράγοντες απειλών χρησιμοποίησαν επιθέσεις με σπρέι κωδικού πρόσβασης για να παραβιάσουν εταιρικούς λογαριασμούς και στη συνέχεια χρησιμοποίησαν αυτούς τους λογαριασμούς ως εφαλτήριο σε άλλους λογαριασμούς και συσκευές σε στοχευμένα συστήματα.
Η Microsoft είχε
κοινοποιημένη καθοδήγηση
για την απάντηση και τη διερεύνηση επιθέσεων της Midnight Blizzard.
VIA:
bleepingcomputer.com
0