TeamViewer, Perşembe günü 26 Haziran 2024’te dahili kurumsal BT ortamında bir “düzensizlik” tespit ettiğini açıkladı.
Şirket, yaptığı açıklamada, “Müdahale ekibimizi ve prosedürlerimizi derhal etkinleştirdik, dünyaca ünlü siber güvenlik uzmanlarından oluşan bir ekiple birlikte soruşturmalara başladık ve gerekli iyileştirme önlemlerini uyguladık.” dedi.
Ayrıca kurumsal BT ortamının ürün ortamından tamamen kesildiğini ve olay sonucunda herhangi bir müşteri verisinin etkilendiğini gösteren hiçbir kanıt bulunmadığını belirtti.
Saldırının arkasında kimin olabileceği ve bunu nasıl başarabildikleri konusunda herhangi bir ayrıntı açıklamadı, ancak bir soruşturmanın sürdüğünü ve yeni bilgiler elde edildiğinde durum güncellemeleri sağlayacağını söyledi.
Almanya merkezli TeamViewer, yönetilen hizmet sağlayıcılarının (MSP’ler) ve BT departmanlarının sunucuları, iş istasyonlarını, ağ cihazlarını ve uç noktaları yönetmesine olanak tanıyan uzaktan izleme ve yönetim (RMM) yazılımının üreticisidir. 600.000’den fazla müşteri tarafından kullanılmaktadır.
İlginçtir ki, Amerikan Hastane Birliği’ne (AHA) göre, ABD Sağlık Bilgi Paylaşımı ve Analiz Merkezi (Health-ISAC), tehdit aktörlerinin TeamViewer’ı aktif olarak istismar ettiği konusunda bir bülten yayınladı.
Kâr amacı gütmeyen kuruluş, “Tehdit aktörlerinin uzaktan erişim araçlarını kullandığı gözlemlendi” dedi. “Teamviewer’ın APT29 ile bağlantılı tehdit aktörleri tarafından istismar edildiği gözlemlendi.”
Bunun, saldırganların müşteri ağlarını ihlal etmek için TeamViewer’daki eksiklikleri kötüye kullandığı, hedeflere sızmak ve yazılımı dağıtmak için zayıf güvenlik uygulamalarını kullandığı veya TeamViewer’ın kendi sistemlerine bir saldırı gerçekleştirdiği anlamına mı geldiği şu aşamada belli değil.
BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard ve The Dukes olarak da adlandırılan APT29, Rusya Dış İstihbarat Servisi’ne (SVR) bağlı, devlet destekli bir tehdit aktörüdür. Son zamanlarda Microsoft ve Hewlett Packard Enterprise’ın (HPE) ihlalleriyle ilişkilendirildi.
Bloomberg ve Reuters’ın haberine göre Microsoft, bu yılın başlarında ortaya çıkan saldırının ardından APT29 tarafından bazı müşterilerinin e-posta kutularına da erişildiğini açıkladı.
Teknoloji devinin haber ajansına verdiği demeçte, “Bu hafta, Midnight Blizzard tehdit aktörü tarafından sızdırılan Microsoft kurumsal e-posta hesaplarıyla yazışan müşterilerimize bildirim göndermeye devam ediyoruz.”