RMM yazılım geliştiricisi TeamViewer, bu hafta kurumsal ağlarına yapılan bir ihlalin arkasında Midnight Blizzard olarak bilinen Rus devlet destekli bir bilgisayar korsanlığı grubunun olduğuna inanıldığını söyledi.
Dün BleepingComputer, TeamViewer’ın ihlal edildiğini ve siber güvenlik uzmanlarının ve sağlık kuruluşlarının müşterileri ve kuruluşları bağlantılarını izlemeleri konusunda uyarmaya başladığını bildirdi.
TeamViewer, işletmeler ve tüketiciler tarafından dahili ağlardaki cihazların uzaktan izlenmesi ve yönetimi (RMM) için yaygın olarak kullanılmaktadır. Siber güvenlik olayının kapsamı bilinmediğinden, uzmanlar paydaşları, tehdit aktörlerinin TeamViewer ihlalini kullanarak daha fazla ağa erişmeye çalıştığını gösterebilecek şüpheli bağlantıları izlemeleri konusunda uyarmaya başladı.
Bugün TeamViewer, BleepingComputer ile güncellenmiş bir açıklama paylaşarak saldırıyı Midnight Blizzard’a (APT29, Nobelium, Cozy Bear) bağladıklarını belirtti.
TeamViewer, 26 Haziran Çarşamba günü bir çalışanın kimlik bilgileri kullanılarak üretim ortamlarının değil, dahili kurumsal ağlarının ihlal edildiğine inandıklarını söylüyor.
Güncellenen TeamViewer açıklamasında, “Soruşturmanın mevcut bulguları, 26 Haziran Çarşamba günü Kurumsal BT ortamımızdaki standart bir çalışan hesabının kimlik bilgilerine bağlı bir saldırıya işaret ediyor” ifadeleri yer aldı.
“Ekiplerimiz, sürekli güvenlik takibine dayanarak bu hesabın şüpheli davranışını tespit etti ve olay müdahale tedbirlerini derhal devreye aldı. Harici olay müdahale desteğimizle birlikte, şu anda bu aktiviteyi APT29 / Midnight Blizzard olarak bilinen tehdit aktörüne bağlıyoruz.”
Şirket, yaptıkları incelemede saldırıda üretim ortamına veya müşteri verilerine erişildiğine dair bir bulguya rastlanmadığını, kurumsal ağlarını ve ürün ortamlarını birbirinden izole tuttuklarını vurguladı.
TeamViewer’ın açıklaması şöyle devam ediyor: “En iyi uygulama mimarisini izleyerek, Kurumsal BT, üretim ortamı ve TeamViewer bağlantı platformunu güçlü bir şekilde ayırıyoruz.”
“Bu, yetkisiz erişimi ve farklı ortamlar arasında yanal hareketi önlemeye yardımcı olmak için tüm sunucuları, ağları ve hesapları kesinlikle ayrı tuttuğumuz anlamına gelir. Bu ayırma, ‘derinlemesine savunma’ yaklaşımımızdaki çok sayıda koruma katmanından biridir.”
Bu, TeamViewer müşterileri için güven verici olsa da, bu tür olaylarda soruşturma ilerledikçe daha fazla bilginin ortaya çıkması yaygındır. Bu, özellikle Midnight Blizzard gibi gelişmiş bir tehdit aktörü için geçerlidir.
Bu nedenle, tüm TeamViewer kullanıcılarının çok faktörlü kimlik doğrulamayı etkinleştirmeleri, yalnızca yetkili kullanıcıların bağlantı kurabilmesi için izin verilen ve engellenen kullanıcıların listesini oluşturmaları ve ağ bağlantılarını ve TeamViewer günlüklerini izlemeleri önerilir.
BleepingComputer, soruşturmaya kimin yardımcı olduğu ve çalışan kimlik bilgilerinin nasıl tehlikeye atıldığı konusunda daha fazla soru sormak için TeamViewer ile iletişime geçti ancak şu anda bir yanıt alamadı.