Aynı adı taşıyan popüler uzaktan erişim/kontrol yazılımını geliştiren şirket olan TeamViewer, Haziran 2024 sonlarında tespit ettiği ihlale ilişkin soruşturmayı tamamladı ve ihlalin yalnızca şirketin dahili BT ortamıyla sınırlı olduğunu doğruladı.
Şirket, “Ne ayrılmış ürün ortamımıza, ne bağlantı platformumuza, ne de herhangi bir müşteri verisine dokunulmadı” diyor.
Saldırganlar ne başardı?
Şirketin güvenlik ekibi, 26 Haziran 2024’te kurumsal BT ortamındaki standart bir çalışan hesabında anormal etkinlikler tespit ettikten sonra, tehdit aktörünü devre dışı bırakmak ve ihlalin boyutunu keşfetmek için harekete geçti.
Şirket, soruşturma ilerledikçe müşterilerinin belirsizliğini en aza indirmek ve korkularını yatıştırmak için bulgularını kamuoyuyla paylaşmaya devam etti.
Saldırının keşfedilmesinden sonraki günlerde TeamViewer, tehdit aktörünün çalışanların dizin verilerini (isimler, kurumsal iletişim bilgileri ve şifrelenmiş çalışan parolaları) dahili kurumsal BT ortamı için kopyalamak amacıyla ele geçirilmiş bir çalışan hesabından yararlandığını ve tehdit aktörünün Midnight Blizzard, namıdiğer APT29 olduğuna inandıklarını doğruladı (ancak hangi göstergelerin onların dahil olduğunu gösterdiğini söylemediler).
Şirket 30 Haziran’da “Dizinde bulunan şifreli parolalarla ilişkili risk, olay müdahale ortağımız Microsoft’un önde gelen uzmanlarıyla işbirliği içinde azaltıldı. Çalışanlarımız için kimlik doğrulama prosedürlerini maksimum düzeye çıkardık ve daha güçlü koruma katmanları uyguladık. Ayrıca, dahili kurumsal BT ortamını tamamen güvenilir bir duruma doğru yeniden inşa etmeye başladık” dedi.
Ayrıca, yetkisiz erişimi ve yatay hareketi önlemek için kurumsal BT ağlarının, üretim ortamlarının ve TeamViewer bağlantı platformunun birbirlerinden tamamen ayrıldığını belirttiler.
4 Haziran’da, “Dahili kurumsal BT ortamımızla ilgili olarak uygulamaya koyduğumuz tüm acil iyileştirme önlemleri ve kurduğumuz ek koruma katmanları çok etkili olduğunu kanıtladı: Güvenlik ekiplerimiz saldırıyı tespit ettikten hemen sonra engelledikten sonra dahili kurumsal BT ortamımızda şüpheli bir faaliyet olmadı” sonucuna vardılar.