TeamViewer Perşembe günü, 26 Haziran 2024’te dahili kurumsal BT ortamında bir “düzensizlik” tespit ettiğini açıkladı.
Şirket, “Müdahale ekibimizi ve prosedürlerimizi derhal harekete geçirdik, dünyaca ünlü siber güvenlik uzmanlarından oluşan bir ekiple birlikte soruşturmalara başladık ve gerekli iyileştirme önlemlerini uyguladık” dedi. söz konusu Bir açıklamada.
Ayrıca kurumsal BT ortamının ürün ortamından tamamen kesildiğini ve olay sonucunda herhangi bir müşteri verisinin etkilendiğini gösteren hiçbir kanıt bulunmadığını belirtti.
Saldırının arkasında kimin olabileceği ve bunu nasıl başardıkları konusunda herhangi bir ayrıntı paylaşılmadı ancak bir soruşturmanın sürdürüldüğü ve yeni bilgiler elde edildikçe durum güncellemesi yapılacağı belirtildi.
Almanya merkezli TeamViewer, yönetilen hizmet sağlayıcıların (MSP’ler) ve BT departmanlarının sunucuları, iş istasyonlarını, ağ cihazlarını ve uç noktaları yönetmesine olanak tanıyan uzaktan izleme ve yönetim (RMM) yazılımının üreticisidir. Tarafından kullanılıyor 600.000’den fazla müşteri.
İlginç bir şekilde, ABD Sağlık Bilgi Paylaşımı ve Analiz Merkezi (Health-ISAC) bir bülten yayınladı Amerikan Hastaneler Birliği’ne (AHA) göre, tehdit aktörlerinin TeamViewer’ı aktif olarak kullanması hakkında.
Kâr amacı gütmeyen kuruluş, “Tehdit aktörlerinin uzaktan erişim araçlarından yararlandığı gözlemlendi” dedi söz konusu. “Teamviewer’ın APT29 ile bağlantılı tehdit aktörleri tarafından istismar edildiği gözlemlendi.”
Bunun, saldırganların müşteri ağlarını ihlal etmek için TeamViewer’daki eksiklikleri kötüye kullandığı, hedeflere sızmak ve yazılımı dağıtmak için zayıf güvenlik uygulamalarını kullandığı veya TeamViewer’ın kendi sistemlerine bir saldırı gerçekleştirdiği anlamına mı geldiği şu aşamada belli değil.
BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard ve The Dukes olarak da adlandırılan APT29, Rusya Dış İstihbarat Servisi’ne (SVR) bağlı, devlet destekli bir tehdit aktörüdür. Son zamanlarda Microsoft ve Hewlett Packard Enterprise’ın (HPE) ihlalleriyle ilişkilendirildi.
Microsoft, bu yılın başlarında ortaya çıkan saldırının ardından APT29 tarafından bazı müşteri e-posta kutularına da erişildiğini açıkladı. Bloomberg Ve Reuters.
Teknoloji devi, haber ajansına yaptığı açıklamada, “Bu hafta, Midnight Blizzard tehdit aktörü tarafından çalınan Microsoft kurumsal e-posta hesaplarıyla iletişim kuran müşterilerimize bildirimler göndermeye devam ediyoruz” dedi.
Saldırı Resmi Olarak APT29’a Atfedildi
TeamViewer’da bir güncelleme Cuma günü, saldırıyı APT29’a bağladı ve kurumsal BT ortamındaki bir çalışan hesabıyla ilişkili kimlik bilgilerini hedef aldığını belirtti.
Gözden geçirilmiş bir uyarıda, “Sürekli güvenlik izlemesine dayanarak ekiplerimiz bu hesapta şüpheli davranış tespit etti ve olay müdahale tedbirlerini derhal uygulamaya koydu.” ifadesine yer verildi. “Tehdit aktörünün ürün ortamımıza veya müşteri verilerimize erişim sağladığına dair hiçbir kanıt yok.”
Yazılımın yaygın kullanımı nedeniyle ihlali ilk olarak sınırlı bir açıklamayla bildiren NCC Group, tavsiye edilen Yazılımın kaldırılması “TeamViewer’ın maruz kaldığı güvenlik ihlali türü hakkında daha fazla ayrıntı bilinene kadar.”